CN104268485B - Se中访问控制规则的访问方法和访问装置及终端 - Google Patents
Se中访问控制规则的访问方法和访问装置及终端 Download PDFInfo
- Publication number
- CN104268485B CN104268485B CN201410515158.2A CN201410515158A CN104268485B CN 104268485 B CN104268485 B CN 104268485B CN 201410515158 A CN201410515158 A CN 201410515158A CN 104268485 B CN104268485 B CN 104268485B
- Authority
- CN
- China
- Prior art keywords
- storage mode
- access
- access control
- control rule
- visitor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种SE中访问控制规则的访问方法,包括:在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则。相应地,本发明还提出了一种SE中访问控制规则的访问装置和一种终端。通过本发明的技术方案,可以减少系统资源消耗,提高系统利用率。
Description
技术领域
本发明涉及终端技术领域,具体而言,涉及一种SE中访问控制规则的访问方法、一种SE中访问控制规则的访问装置和一种终端。
背景技术
现有支持NFC功能的移动终端支持两种存储访问控制规则的方法,分别是ARA和ARF,这两种方式在SE中会预置对应的Applet应用,应用通过AID来标识。SE可支持任一种或两种均支持。当终端在初始化或有业务需要访问SE(Security Element,安全模块,主要用于存储NFC应用和用户敏感数据以及实现安全密钥运算的芯片模块)时,终端会优先访问ARA,如没有访问到就会去访问ARF。(其中,ARA和ARF是两种存储访问控制规则的方法,在SE中会安装对应的Applet应用,应用通过AID来标识。其中ARF是一种以文件形式存储访问控制规则的方法)。
上述技术方案的缺陷在于:
终端在初始化或有业务(指手机钱包的下载,更新,删除,安装,查询,设置等业务)需要访问SE时,均会先访问ARA Applet应用,如SE不支持ARA方式,终端会在访问ARA失败后继续访问ARF,对于ARA的访问纯属无用功,而且在频繁的业务操作过程中,每次业务请求均会访问ARA,极大消耗了系统资源,降低系统效率。
因此需要一种新的技术方案,可以减少系统资源消耗,提高系统利用率。
发明内容
本发明正是基于上述问题,提出了一种新的技术方案,可以减少系统资源消耗,提高系统利用率。
有鉴于此,本发明提出了一种SE中访问控制规则的访问方法,包括:在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则。
在该技术方案中,在终端开机时获取SE当前优先支持的访问控制规则的存储方式,并记录保存,在后续业务需要访问SE时,终端直接通过记录的存储方式完成终端侧访问控制规则的获取,这样,获取SE支持的存储方式,并使用该方式获取访问控制规则,避免了每次收到业务请求均访问ARA造成的系统资源的浪费,减少了系统资源消耗,提高系统利用率。
在上述技术方案中,优选地,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则,具体包括:在获取所述目标存储方式后,按照所述目标存储方式从所述SE中获取并缓存所述访问控制规则;以及在接收到任一访问者对所述SE中任一应用程序的访问请求时,按照所述目标存储方式对缓存的所述访问控制规则进行更新。
在该技术方案中,在获取到目标存储方式后,按照目标存储方式获取访问控制规则,并缓存访问控制规则,以完成初始化工作,当再接收到访问者对SE中应用程序的访问请求时,按照记录的访问控制规则获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:获取所述任一访问者的访问者信息,将所述访问者信息与所述访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;在判断结果为所述任一访问者有访问权限时,允许所述任一访问者访问所述SE中的所述任一应用程序,在判断结果为所述任一访问者没有访问权限时,禁止所述任一访问者访问所述SE中的所述任一应用程序。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,并通过接口层下发APDU命令,完成业务请求,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,所述获取SE当前优先支持的目标存储方式,具体包括:获取方发送获取所述SE的目标存储方式的请求至所述SE;所述SE根据请求和所述SE的属性信息确定所述SE当前支持的至少一个存储方式;以及所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;所述SE将所述目标存储方式发送至所述获取方;或者所述SE将所述至少一个存储方式发送至所述获取方,所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在上述技术方案中,优选地,所述SE根据属性信息确定所述SE当前支持的至少一个存储方式;以及所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;所述SE发送所述目标存储方式至获取方;或者所述SE发送所述至少一个存储方式至所述获取方,所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在该技术方案中,获取SE支持的访问控制规则的存储方式有两种方式实现:一种是直接由获取方(即访问控制服务)下发获取当前SE支持的访问控制规则的存储方式的命令,SE将支持的存储方式响应给请求者;第二种是由SE主动上报当前支持的访问控制规则的存储方式,访问控制服务接收到该信息后,进行记录存储。
而具体地,优先存储方式的设定可以由获取方(访问控制服务)或SE来设定。对于由访问控制服务来设定的情况,当SE将支持的全部存储方式响应给访问控制服务或SE主动上报其当前支持的所有存储方式时,访问控制服务按照SE的发行实体的需求,具体决定各存储方式的优先级别,选择优先级最高的存储方式作为后续业务的访问SE中访问控制规则的方式;对于由SE来设定的情况,SE按照SE的发行实体的需求,确定各存储方式的优先级别,在进行响应或上报SE的存储方式时,仅响应或上报优先级最高的存储方式,终端会记录该存储方式,用于后续业务。
根据本发明的另一方面,还提供了一种SE中访问控制规则的访问装置,包括:获取单元,在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;处理单元,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则。
在该技术方案中,在终端开机时获取SE当前优先支持的访问控制规则的存储方式,并记录保存,在后续业务需要访问SE时,终端直接通过记录的存储方式完成终端侧访问控制规则的获取,这样,获取SE支持的存储方式,并使用该方式获取访问控制规则,避免了每次收到业务请求均访问ARA造成的系统资源的浪费,减少了系统资源消耗,提高系统利用率。
在上述技术方案中,优选地,所述处理单元具体包括:缓存单元,在获取所述目标存储方式后,按照所述目标存储方式从所述SE中获取并缓存所述访问控制规则;以及更新单元,在接收到任一访问者对所述SE中任一应用程序的访问请求时,按照所述目标存储方式对缓存的所述访问控制规则进行更新。
在该技术方案中,在获取到目标存储方式后,按照目标存储方式获取访问控制规则,并缓存访问控制规则,以完成初始化工作,当再接收到访问者对SE中应用程序的访问请求时,按照记录的访问控制规则获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:判断单元,获取所述任一访问者的访问者信息,将所述访问者信息与所述访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;访问处理单元,在判断结果为所述任一访问者有访问权限时,允许所述任一访问者访问所述SE中的所述任一应用程序,以及在判断结果为所述任一访问者没有访问权限时,禁止所述任一访问者访问所述SE中的所述任一应用程序。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,并通过接口层下发APDU命令,完成业务请求,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,所述获取单元包括:发送单元,控制获取方发送获取所述SE的目标存储方式的请求至所述SE;确定单元,控制所述SE根据请求和所述SE的属性信息确定所述SE当前支持的至少一个存储方式;以及选择单元,控制所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;所述发送单元还用于:控制所述SE将所述目标存储方式发送至所述获取方;或者所述发送单元还用于:控制所述SE将所述至少一个存储方式发送至所述获取方;所述选择单元还用于:控制所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在上述技术方案中,优选地,还包括:确定单元,控制所述SE根据属性信息确定所述SE当前支持的至少一个存储方式;以及选择单元,控制所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;发送单元,控制所述SE发送所述目标存储方式至获取方;或者所述发送单元还用于:控制所述SE发送所述至少一个存储方式至所述获取方;所述选择单元还用于:控制所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在该技术方案中,获取SE支持的访问控制规则的存储方式有两种方式实现:一种是直接由获取方(即访问控制服务)下发获取当前SE支持的访问控制规则的存储方式的命令,SE将支持的存储方式响应给请求者;第二种是由SE主动上报当前支持的访问控制规则的存储方式,访问控制服务接收到该信息后,进行记录存储。
而具体地,优先存储方式的设定可以由获取方(访问控制服务)或SE来设定。对于由访问控制服务来设定的情况,当SE将支持的全部存储方式响应给访问控制服务或SE主动上报其当前支持的所有存储方式时,访问控制服务按照SE的发行实体的需求,具体决定各存储方式的优先级别,选择优先级最高的存储方式作为后续业务的访问SE中访问控制规则的方式;对于由SE来设定的情况,SE按照SE的发行实体的需求,确定各存储方式的优先级别,在进行响应或上报SE的存储方式时,仅响应或上报优先级最高的存储方式,终端会记录该存储方式,用于后续业务。
根据本发明的再一方面,还提供了一种终端,包括:如上述技术方案中任一项所述的SE中访问控制规则的访问装置。
通过以上技术方案,在终端开机时获取SE当前优先支持的访问控制规则的存储方式,并记录保存且使用该种方式完成终端侧访问控制规则缓存的初始化工作,在后续业务需要访问SE时,终端直接通过记录的存储方式完成终端侧访问控制规则的更新,以减少系统资源消耗,提高系统利用率。
附图说明
图1示出了根据本发明的实施例的SE中访问控制规则的访问方法的流程图;
图2示出了根据本发明的实施例的SE中访问控制规则的访问装置的框图;
图3示出了根据本发明的实施例的终端的框图;
图4示出了根据本发明的实施例的终端的结构示意图;
图5示出了图4中访问控制规则初始化过程的具体流程图;
图6示出了图4中访问控制规则更新过程的具体流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的SE中访问控制规则的访问方法的流程图。
如图1所示,根据本发明的实施例的SE中访问控制规则的访问方法的流程包括:步骤102,在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;步骤104,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则。
在该技术方案中,在终端开机时获取SE当前优先支持的访问控制规则的存储方式,并记录保存,在后续业务需要访问SE时,终端直接通过记录的存储方式完成终端侧访问控制规则的获取,这样,获取SE支持的存储方式,并使用该方式获取访问控制规则,避免了每次收到业务请求均访问ARA造成的系统资源的浪费,减少了系统资源消耗,提高系统利用率。
在上述技术方案中,优选地,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则,具体包括:在获取所述目标存储方式后,按照所述目标存储方式从所述SE中获取并缓存所述访问控制规则;以及在接收到任一访问者对所述SE中任一应用程序的访问请求时,按照所述目标存储方式对缓存的所述访问控制规则进行更新。
在该技术方案中,在获取到目标存储方式后,按照目标存储方式获取访问控制规则,并缓存访问控制规则,以完成初始化工作,当再接收到访问者对SE中应用程序的访问请求时,按照记录的访问控制规则获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:获取所述任一访问者的访问者信息,将所述访问者信息与所述访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;在判断结果为所述任一访问者有访问权限时,允许所述任一访问者访问所述SE中的所述任一应用程序,在判断结果为所述任一访问者没有访问权限时,禁止所述任一访问者访问所述SE中的所述任一应用程序。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,并通过接口层下发APDU命令,完成业务请求,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,所述获取SE当前优先支持的目标存储方式,具体包括:获取方发送获取所述SE的目标存储方式的请求至所述SE;所述SE根据请求和所述SE的属性信息确定所述SE当前支持的至少一个存储方式;以及所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;所述SE将所述目标存储方式发送至所述获取方;或者所述SE将所述至少一个存储方式发送至所述获取方,所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在上述技术方案中,优选地,所述SE根据属性信息确定所述SE当前支持的至少一个存储方式;以及所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;所述SE发送所述目标存储方式至获取方;或者所述SE发送所述至少一个存储方式至所述获取方,所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在该技术方案中,获取SE支持的访问控制规则的存储方式有两种方式实现:一种是直接由获取方(即访问控制服务)下发获取当前SE支持的访问控制规则的存储方式的命令,SE将支持的存储方式响应给请求者;第二种是由SE主动上报当前支持的访问控制规则的存储方式,访问控制服务接收到该信息后,进行记录存储。
而具体地,优先存储方式的设定可以由获取方(访问控制服务)或SE来设定。对于由访问控制服务来设定的情况,当SE将支持的全部存储方式响应给访问控制服务或SE主动上报其当前支持的所有存储方式时,访问控制服务按照SE的发行实体的需求,具体决定各存储方式的优先级别,选择优先级最高的存储方式作为后续业务的访问SE中访问控制规则的方式;对于由SE来设定的情况,SE按照SE的发行实体的需求,确定各存储方式的优先级别,在进行响应或上报SE的存储方式时,仅响应或上报优先级最高的存储方式,终端会记录该存储方式,用于后续业务。
图2示出了根据本发明的实施例的SE中访问控制规则的访问装置的框图。
如图2所示,根据本发明的实施例的SE中访问控制规则的访问装置200,包括:获取单元202,在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;处理单元204,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则。
在该技术方案中,在终端开机时获取SE当前优先支持的访问控制规则的存储方式,并记录保存,在后续业务需要访问SE时,终端直接通过记录的存储方式完成终端侧访问控制规则的获取,这样,获取SE支持的存储方式,并使用该方式获取访问控制规则,避免了每次收到业务请求均访问ARA造成的系统资源的浪费,减少了系统资源消耗,提高系统利用率。
在上述技术方案中,优选地,所述处理单元204具体包括:缓存单元2042,在获取所述目标存储方式后,按照所述目标存储方式从所述SE中获取并缓存所述访问控制规则;以及更新单元2044,在接收到任一访问者对所述SE中任一应用程序的访问请求时,按照所述目标存储方式对缓存的所述访问控制规则进行更新。
在该技术方案中,在获取到目标存储方式后,按照目标存储方式获取访问控制规则,并缓存访问控制规则,以完成初始化工作,当再接收到访问者对SE中应用程序的访问请求时,按照记录的访问控制规则获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:判断单元206,获取所述任一访问者的访问者信息,将所述访问者信息与所述访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;访问处理单元208,在判断结果为所述任一访问者有访问权限时,允许所述任一访问者访问所述SE中的所述任一应用程序,以及在判断结果为所述任一访问者没有访问权限时,禁止所述任一访问者访问所述SE中的所述任一应用程序。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,并通过接口层下发APDU命令,完成业务请求,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,所述获取单元202包括:发送单元2022,控制获取方发送获取所述SE的目标存储方式的请求至所述SE;确定单元2024,控制所述SE根据请求和所述SE的属性信息确定所述SE当前支持的至少一个存储方式;以及选择单元2026,控制所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;所述发送单元2022还用于:控制所述SE将所述目标存储方式发送至所述获取方;或者所述发送单元2022还用于:控制所述SE将所述至少一个存储方式发送至所述获取方;所述选择单元2026还用于:控制所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在上述技术方案中,优选地,所述获取单元202还包括:确定单元2024,控制所述SE根据属性信息确定所述SE当前支持的至少一个存储方式;以及选择单元2026,控制所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;发送单元2022,控制所述SE发送所述目标存储方式至获取方;或者所述发送单元2022还用于:控制所述SE发送所述至少一个存储方式至所述获取方;所述选择单元2026还用于:控制所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
在该技术方案中,获取SE支持的访问控制规则的存储方式有两种方式实现:一种是直接由获取方(即访问控制服务)下发获取当前SE支持的访问控制规则的存储方式的命令,SE将支持的存储方式响应给请求者;第二种是由SE主动上报当前支持的访问控制规则的存储方式,访问控制服务接收到该信息后,进行记录存储。
而具体地,优先存储方式的设定可以由获取方(访问控制服务)或SE来设定。对于由访问控制服务来设定的情况,当SE将支持的全部存储方式响应给访问控制服务或SE主动上报其当前支持的所有存储方式时,访问控制服务按照SE的发行实体的需求,具体决定各存储方式的优先级别,选择优先级最高的存储方式作为后续业务的访问SE中访问控制规则的方式;对于由SE来设定的情况,SE按照SE的发行实体的需求,确定各存储方式的优先级别,在进行响应或上报SE的存储方式时,仅响应或上报优先级最高的存储方式,终端会记录该存储方式,用于后续业务。
图3示出了根据本发明的实施例的终端的框图。
如图3所示,根据本发明的实施例的终端300,包括:如上述技术方案中任一项所述的SE中访问控制规则的访问装置200。终端300具有与SE中访问控制规则的访问装置200相同的技术效果,在此不再进行赘述。
本发明的方案适用于当前各种NFC方案,主要有NFC-SWP,NFC-SD和全终端方案。各种NFC方案的主要区别在于SE的集成方式上,如NFC-SWP方案将SE集成在用户智能卡中;NFC-SD方案将SE集成在SD存储卡中;全终端方案将SE集成在终端芯片中。各种方案均会建立访问控制规则服务,用于阻止对SE中资源的非授权访问。图4描述了本发明方案的基本实现框架。
如图4所示,应用程序客户端402是应用软件,如手机钱包客户端等;SE访问接入404为应用程序客户端提供访问SE的接口,实现客户端应用程序与SE之间的APDU命令交互;访问控制规则服务406主要用于对SE的安全访问管理,阻止对SE资源的非授权访问和非法攻击,保证业务安全。该模块存储了SE412中的访问控制规则;接口层408负责将访问接入发送的命令接入到相应的SE中,不同的NFC实现方案接口层表现形式不同。对于NFC-SWP方案,接口层408为无线接口层;对于NFC-SD方案,接口层为SD卡接口层;对于全终端方案,接口层408为NFC服务。驱动层410主要实现客户端应用和SE412之间的数据传输,不同的NFC实现方案驱动层410表现形式不同。对于NFC-SWP方案,驱动层410为基带处理;对于NFC-SD方案,驱动层410为SD Kernel层驱动;对于全终端方案,驱动层410为NFC芯片驱动。SE 412主要存储了各类银行卡、身份卡、门禁卡等金融安全类应用以及用户的敏感数据(如密钥、余额等)。不同的NFC实现方案SE集成位置不同。
从图4中可以看出,本发明的技术方案的处理流程包括两部分,分别是访问控制规则初始化过程和访问控制规则更新过程。这两个过程均是对终端侧的访问控制规则缓存而言的。SE中存储的访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中Applet应用,也可以定义允许访问的具体指令。终端在开机后会从SE中将访问控制规则读取到终端侧的访问控制规则缓存中,在有业务要访问SE时,终端会将SE中的访问控制规则更新到终端侧的访问控制规则缓存中。这样就保证了终端侧的访问控制规则缓存始终与SE中的访问控制规则是一致的,以完成对SE的安全访问控制的管理。下面分别描述这两个处理过程:
如图5所示,根据本发明的实施例的访问控制规则初始化过程的具体流程包括:
步骤502,判断SE状态是否为已准备好,在判断结果为是时,进入步骤504,在判断结果为否时,结束步骤。
步骤504,获取SE支持的访问控制规则的优先存储方式并记录且保存。其中,获取SE支持的访问控制规则的存储方式有两种方式实现:一种直接由访问控制服务下发获取当前SE支持的访问控制规则的存储方式的命令,SE将支持的存储方式响应给请求者;第二种是由SE主动上报当前支持的访问控制规则的存储方式,访问控制服务接收到该信息后,进行记录存储。
优先存储方式的设定可以由访问控制服务或SE来设定。对于由访问控制服务来设定的情况,当SE将支持的全部存储方式响应给访问控制服务或SE主动上报其当前支持的所有存储方式时,访问控制服务按照SE的发行实体的需求,具体决定各存储方式的优先级别,选择优先级最高的存储方式作为后续业务的访问SE中访问控制规则的方式;对于由SE来设定的情况,SE按照SE的发行实体的需求,确定各存储方式的优先级别,在进行响应或上报SE的存储方式时,仅响应或上报优先级最高的存储方式,终端会记录该存储方式,用于后续业务。
步骤506,按照记录的存储方式从SE中获取访问控制规则完成终端侧访问控制规则缓存的初始化。
如图6所示,根据本发明的实施例的访问控制规则更新过程的具体流程包括:
步骤602,判断访问控制服务接收到要访问SE的请求,在判断结果为是时,进入步骤604,在判断结果为否时,结束步骤。
步骤604,按照初始化时记录的优先存储方式,从SE中读取访问控制规则完成终端侧访问控制规则缓存的更新。
步骤606,获取访问者信息并与终端侧访问控制规则缓存中的规则进行匹配鉴权。
步骤608,判断是否鉴权通过,在判断结果为是时,进入步骤610,在判断结果为否时,进入步骤612。
步骤610,允许访问SE中对应的资源,通过接口层下发APDU命令,完成业务请求。
步骤612,拒绝访问,提示用户非法访问。
以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,在终端开机时获取SE当前优先支持的访问控制规则的存储方式,并记录保存且使用该种方式完成终端侧访问控制规则缓存的初始化工作,在后续业务需要访问SE时,终端直接通过记录的存储方式完成终端侧访问控制规则的更新,从而减少系统资源消耗,提高系统利用率。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种安全模块SE中访问控制规则的访问方法,其特征在于,包括:
在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;
在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则;
所述获取SE当前优先支持的目标存储方式,具体包括:
获取方发送获取所述SE的目标存储方式的请求至所述SE;
所述SE根据请求和所述SE的属性信息确定所述SE当前支持的至少一个存储方式;以及
所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;
所述SE将所述目标存储方式发送至所述获取方;或者
所述SE将所述至少一个存储方式发送至所述获取方,所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
2.根据权利要求1所述的SE中访问控制规则的访问方法,其特征在于,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则,具体包括:
在获取所述目标存储方式后,按照所述目标存储方式从所述SE中获取并缓存所述访问控制规则;以及
在接收到任一访问者对所述SE中任一应用程序的访问请求时,按照所述目标存储方式对缓存的所述访问控制规则进行更新。
3.根据权利要求1所述的SE中访问控制规则的访问方法,其特征在于,还包括:
获取所述任一访问者的访问者信息,将所述访问者信息与所述访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;
在判断结果为所述任一访问者有访问权限时,允许所述任一访问者访问所述SE中的所述任一应用程序,
在判断结果为所述任一访问者没有访问权限时,禁止所述任一访问者访问所述SE中的所述任一应用程序。
4.根据权利要求1至3中任一项所述的SE中访问控制规则的访问方法,其特征在于,还包括:
所述SE根据属性信息确定所述SE当前支持的至少一个存储方式;以及
所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;
所述SE发送所述目标存储方式至获取方;或者
所述SE发送所述至少一个存储方式至所述获取方,所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
5.一种安全模块SE中访问控制规则的访问装置,其特征在于,包括:
获取单元,在终端开机时,获取SE当前优先支持的目标存储方式,并记录所述目标存储方式;
处理单元,在接收到任一访问者对所述SE中任一应用程序的访问请求时,根据记录的所述目标存储方式从所述SE中获取访问控制规则;
所述获取单元包括:
发送单元,控制获取方发送获取所述SE的目标存储方式的请求至所述SE;
确定单元,控制所述SE根据请求和所述SE的属性信息确定所述SE当前支持的至少一个存储方式;以及
选择单元,控制所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;
所述发送单元还用于:
控制所述SE将所述目标存储方式发送至所述获取方;或者
所述发送单元还用于:
控制所述SE将所述至少一个存储方式发送至所述获取方;
所述选择单元还用于:
控制所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
6.根据权利要求5所述的SE中访问控制规则的访问装置,其特征在于,所述处理单元具体包括:
缓存单元,在获取所述目标存储方式后,按照所述目标存储方式从所述SE中获取并缓存所述访问控制规则;以及
更新单元,在接收到任一访问者对所述SE中任一应用程序的访问请求时,按照所述目标存储方式对缓存的所述访问控制规则进行更新。
7.根据权利要求5所述的SE中访问控制规则的访问装置,其特征在于,还包括:
判断单元,获取所述任一访问者的访问者信息,将所述访问者信息与所述访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;
访问处理单元,在判断结果为所述任一访问者有访问权限时,允许所述任一访问者访问所述SE中的所述任一应用程序,以及
在判断结果为所述任一访问者没有访问权限时,禁止所述任一访问者访问所述SE中的所述任一应用程序。
8.根据权利要求5至7中任一项所述的SE中访问控制规则的访问装置,其特征在于,所述获取单元包括:
确定单元,控制所述SE根据属性信息确定所述SE当前支持的至少一个存储方式;以及
选择单元,控制所述SE按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式;
发送单元,控制所述SE发送所述目标存储方式至获取方;或者
所述发送单元还用于:
控制所述SE发送所述至少一个存储方式至所述获取方;
所述选择单元还用于:
控制所述获取方按照预设的存储方式优先级,从所述至少一个存储方式中选择出优先级最高的存储方式作为所述当前优先支持的目标存储方式。
9.一种安全模块SE中访问控制规则的访问终端,其特征在于,包括:如权利要求5至8中任一项所述的SE中访问控制规则的访问装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410515158.2A CN104268485B (zh) | 2014-09-29 | 2014-09-29 | Se中访问控制规则的访问方法和访问装置及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410515158.2A CN104268485B (zh) | 2014-09-29 | 2014-09-29 | Se中访问控制规则的访问方法和访问装置及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104268485A CN104268485A (zh) | 2015-01-07 |
| CN104268485B true CN104268485B (zh) | 2017-11-17 |
Family
ID=52160006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410515158.2A Active CN104268485B (zh) | 2014-09-29 | 2014-09-29 | Se中访问控制规则的访问方法和访问装置及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104268485B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519753B (zh) * | 2019-07-09 | 2023-05-02 | 中移(杭州)信息技术有限公司 | 访问方法、装置、终端和可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1886963A (zh) * | 2003-11-27 | 2006-12-27 | 纳格拉卡德股份有限公司 | 应用程序认证方法 |
| CN103186858A (zh) * | 2012-02-05 | 2013-07-03 | 深圳市家富通汇科技有限公司 | 可信服务管理方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140189880A1 (en) * | 2012-12-31 | 2014-07-03 | Gemalto Sa | System and method for administrating access control rules on a secure element |
-
2014
- 2014-09-29 CN CN201410515158.2A patent/CN104268485B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1886963A (zh) * | 2003-11-27 | 2006-12-27 | 纳格拉卡德股份有限公司 | 应用程序认证方法 |
| CN103186858A (zh) * | 2012-02-05 | 2013-07-03 | 深圳市家富通汇科技有限公司 | 可信服务管理方法 |
Non-Patent Citations (2)
| Title |
|---|
| Android客户端访问控制技术研究;黄健等;《计算机光盘软件与应用》;20140430;全文 * |
| GP访问控制技术在移动近场支付业务中的应用与研究;张欣宇等;《邮电设计技术》;20140420;第53页右列第二段至54页左列倒数第二段,第56页左列第三段至57页左列第三段,附图1-3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104268485A (zh) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11801805B2 (en) | Security of user data stored in shared vehicles | |
| CN102033744B (zh) | 用于控制用户的场景信息的使用的方法和设备 | |
| US7783737B2 (en) | System and method for managing supply of digital content | |
| US20050132347A1 (en) | System for controlling the use of a software application on a plurality of computers | |
| CN102110316B (zh) | 一种一卡通服务实现方法及系统 | |
| EP3777082B1 (en) | Trusted platform module-based prepaid access token for commercial iot online services | |
| EP3049940B1 (en) | Data caching policy in multiple tenant enterprise resource planning system | |
| US20140115672A1 (en) | Storing and Accessing Licensing Information in Operating System-Independent Storage | |
| US9471896B2 (en) | Memo synchronization system, mobile system, and method for synchronizing memo data | |
| CN104462893B (zh) | 多se模块管理方法和多se模块管理装置 | |
| CN107004107A (zh) | 用于基于位置的安全性的系统和方法 | |
| CN110460635A (zh) | 一种面向无人驾驶的边缘卸载方法及装置 | |
| CA2829805C (en) | Managing application execution and data access on a device | |
| CN104268485B (zh) | Se中访问控制规则的访问方法和访问装置及终端 | |
| EP1309147A1 (en) | Method and apparatus for managing profile information in a heterogeneous or homogeneous network environment | |
| CN104346165B (zh) | 信息处理设备、信息处理方法、存储介质和信息处理系统 | |
| JP2008041025A (ja) | アクセス端末、管理サーバ、アクセス方法、及び無効端末id送信方法 | |
| CN105205353A (zh) | 一种信息处理方法和电子设备 | |
| JP6322967B2 (ja) | データ保護装置、方法、および、プログラム | |
| CN109495432B (zh) | 一种匿名账户的鉴权方法及服务器 | |
| CN104349321B (zh) | 一种安全访问鉴权方法、访问请求发送方法及装置 | |
| CN111209574A (zh) | 访问控制与访问行为识别方法、系统、设备及存储介质 | |
| US10223508B2 (en) | Consumer rights locker | |
| CN105630811A (zh) | 访问控制规则的更新方法及更新系统 | |
| JP2007249540A (ja) | 組織用業務システム、運用管理方法、及び端末装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220428 Address after: 330000 room 106, building 1, science and technology production, standard workshop, industrial park, No. 4368, Jingkai Avenue, Nanchang Economic and Technological Development Zone, Nanchang City, Jiangxi Province Patentee after: Nanchang Kupai Zhongying Intelligent Technology Co.,Ltd. Address before: 710065 block a, No. 8, Tangyan South Road, high tech Zone, Xi'an, Shaanxi Province Patentee before: XI'AN KUPAI SOFTWARE TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |