CN104462893A - 多se模块管理方法和多se模块管理装置 - Google Patents
多se模块管理方法和多se模块管理装置 Download PDFInfo
- Publication number
- CN104462893A CN104462893A CN201410626032.2A CN201410626032A CN104462893A CN 104462893 A CN104462893 A CN 104462893A CN 201410626032 A CN201410626032 A CN 201410626032A CN 104462893 A CN104462893 A CN 104462893A
- Authority
- CN
- China
- Prior art keywords
- module
- arbitrary
- visitor
- access control
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种多SE模块管理方法,用于终端,所述终端包括多个SE模块,包括:获取所述多个SE模块中每个SE模块的模块标识信息;建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。相应地,本发明还提供了一种多SE模块管理装置,通过本发明的技术方案,可以在一个NFC终端上实现对多个SE模块的有效管理,提高用户体验。
Description
技术领域
本发明涉及终端技术领域,具体而言,涉及一种多SE模块管理装置和一种多SE模块管理方法。
背景技术
现有支持NFC(近场通信)功能的移动终端有几种实现方案,如NFC-SWP,NFC-SD和全终端等。各种NFC方案的主要区别在于SE的集成方式上,如NFC-SWP方案将SE集成在用户智能卡中;NFC-SD方案将SE集成在SD存储卡中;全终端方案将SE集成在终端芯片中。
现有NFC终端仅支持一个SE模块,但为了顺应移动支付业务高速发展的需要,人们开始尝试在一个终端上集成多个SE模块的业务需求,但是,现有技术方案中,并没有相关技术可以实现对多个SE模块之间的应用的管理。
因此需要一种新的技术方案,可以在一个NFC终端上实现对多个SE模块的有效管理,提高用户体验。
发明内容
本发明正是基于上述问题,提出了一种新的技术方案,可以在一个NFC终端上实现对多个SE模块的有效管理,提高用户体验。
有鉴于此,本发明提出了一种多SE模块管理方法,用于终端,所述终端包括多个SE模块,包括:获取所述多个SE模块中每个SE模块的模块标识信息;建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。
在该技术方案中,通过模块标识来标识不同SE模块,并为每个SE模块建立对应的访问控制规则缓存库和逻辑信道库,并也用模块标识进行标识,这样,当终端接收到任一访问者的访问请求时,会根据访问请求想访问的SE模块的标识找到其对应的访问控制规则缓存库以及逻辑信道库,从而在通过访问控制规则缓存库鉴权后在对应的逻辑信道上完成与该SE模块的命令交互,以实现对多SE模块Applet应用的管理。
在上述技术方案中,优选地,还包括:在所述终端开机或在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,从所述多个SE模块中读取最新的访问控制规则,以更新对应的访问控制规则缓存库。
在该技术方案中,终端会事先将SE模块中的访问控制规则缓存到终端的内存中,从而形成访问控制规则缓存库,以完成初始化工作,当其接收到访问者对SE中应用程序的访问请求时,会重新获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:从所述目标访问控制规则库中选择出与所述任一访问者的访问请求对应的目标访问控制规则;根据所述目标访问控制规则对所述任一访问者进行鉴权;在所述任一访问者鉴权通过时,根据所述任一应用程序的标识信息从所述目标逻辑信道库中选择出目标逻辑信道,以使用所述目标逻辑信道完成所述任一访问者和所述任一SE模块之间的命令交互。
在该技术方案中,在确定目标访问控制规则库和目标逻辑信道库之后,可以根据具体的访问请求确定对应的目标访问控制规则和目标逻辑信道,从而在通过目标访问控制规则鉴权后,使用目标逻辑信道完成任一访问者和任一SE模块之间的命令交互。其中,该目标逻辑信道只能用于此次业务,新的业务请求使用其他逻辑通道,直到此次业务结束,释放该逻辑通道该逻辑通道才能再次被使用。
在上述技术方案中,优选地,根据所述目标访问控制规则对所述任一访问者进行鉴权,具体包括:获取所述任一访问者的访问者信息,将所述访问者信息与所述目标访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;在判断结果为所述任一访问者有访问权限时,判断所述任一访问者鉴权通过,在判断结果为所述任一访问者没有访问权限时,判断所述任一访问者鉴权未通过。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,还包括:在所述任一访问者鉴权未通过时,拒绝所述任一访问者访问所述任一SE模块,并发出拒绝提示。
在该技术方案中,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
根据本发明的另一方面,还提供了一种多SE模块管理装置,用于终端,所述终端包括多个SE模块,包括:获取单元,获取所述多个SE模块中每个SE模块的模块标识信息;标识单元,建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;选择单元,在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。
在该技术方案中,通过模块标识来标识不同SE模块,并为每个SE模块建立对应的访问控制规则缓存库和逻辑信道库,并也用模块标识进行标识,这样,当终端接收到任一访问者的访问请求时,会根据访问请求想访问的SE模块的标识找到其对应的访问控制规则缓存库以及逻辑信道库,从而在通过访问控制规则缓存库鉴权后在对应的逻辑信道上完成与该SE模块的命令交互,以实现对多SE模块Applet应用的管理。
在上述技术方案中,优选地,还包括:更新单元,在所述终端开机或在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,从所述多个SE模块中获取最新的访问控制规则,以更新对应的访问控制规则缓存库。
在该技术方案中,终端会事先将SE模块中的访问控制规则缓存到终端的内存中,从而形成访问控制规则缓存库,以完成初始化工作,当其接收到访问者对SE中应用程序的访问请求时,会重新获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:规则选择单元,从所述目标访问控制规则库中选择出与所述任一访问者的访问请求对应的目标访问控制规则;鉴权单元,根据所述目标访问控制规则对所述任一访问者进行鉴权;信道选择单元,在所述任一访问者鉴权通过时,根据所述任一应用程序的标识信息从所述目标逻辑信道库中选择出目标逻辑信道,以使用所述目标逻辑信道完成所述任一访问者和所述任一SE模块之间的命令交互。
在该技术方案中,在确定目标访问控制规则库和目标逻辑信道库之后,可以根据具体的访问请求确定对应的目标访问控制规则和目标逻辑信道,从而在通过目标访问控制规则鉴权后,使用目标逻辑信道完成任一访问者和任一SE模块之间的命令交互。其中,该目标逻辑信道只能用于此次业务,新的业务请求使用其他逻辑通道,直到此次业务结束,释放该逻辑通道该逻辑通道才能再次被使用。
在上述技术方案中,优选地,所述鉴权单元具体用于:获取所述任一访问者的访问者信息,将所述访问者信息与所述目标访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;在判断结果为所述任一访问者有访问权限时,判断所述任一访问者鉴权通过,在判断结果为所述任一访问者没有访问权限时,判断所述任一访问者鉴权未通过。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,还包括:提示单元,在所述任一访问者鉴权未通过时,拒绝所述任一访问者访问所述任一SE模块,并发出拒绝访问的提示。
在该技术方案中,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
根据本发明的再一方面,还提供了一种终端,包括:多个SE模块;以及上述技术方案中任一项所述的多SE模块管理装置。终端具有和多SE模块管理装置相同的技术效果,在此不再赘述。
通过以上技术方案,可以在一个NFC终端上实现对多个SE模块的有效管理,提高用户体验。
附图说明
图1示出了根据本发明的实施例的多SE模块管理方法的流程图;
图2示出了根据本发明的实施例的多SE模块管理装置的框图;
图3示出了根据本发明的实施例的终端的结构图;
图4示出了根据本发明的一个实施例的多SE模块管理方法的具体流程图;
图5示出了根据本发明的另一个实施例的多SE模块管理方法的具体流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
名词解释:
SE安全模块:SE是Security Element的缩写,主要用于存储NFC应用和用户敏感数据以及实现安全密钥运算的芯片模块;
SE Applet应用:特指存储在SE模块中的各类银行卡、身份卡、门禁卡等金融安全类应用以及个人化数据,如:招商银行卡,浦发银行卡,市政公交一卡通等等;
SE_ID:SE安全模块的标识,全网统一分配;
应用管理:特指对SE Applet应用的下载、更新、删除、查询等一系列操作。也可称为Applet应用管理等。
客户端应用:特指移动终端上运行的应用程序客户端,是一种应用软件,如手机钱包客户端等。
图1示出了根据本发明的实施例的多SE模块管理方法的流程图。
如图1所示,根据本发明的实施例的多SE模块管理方法,包括:步骤102,获取所述多个SE模块中每个SE模块的模块标识信息;步骤104,建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;步骤106,在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。
在该技术方案中,通过模块标识来标识不同SE模块,并为每个SE模块建立对应的访问控制规则缓存库和逻辑信道库,并也用模块标识进行标识,这样,当终端接收到任一访问者的访问请求时,会根据访问请求想访问的SE模块的标识找到其对应的访问控制规则缓存库以及逻辑信道库,从而在通过访问控制规则缓存库鉴权后在对应的逻辑信道上完成与该SE模块的命令交互,以实现对多SE模块Applet应用的管理。
在上述技术方案中,优选地,还包括:在所述终端开机或在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,从所述多个SE模块中读取最新的访问控制规则,以更新对应的访问控制规则缓存库。
在该技术方案中,终端会事先将SE模块中的访问控制规则缓存到终端的内存中,从而形成访问控制规则缓存库,以完成初始化工作,当其接收到访问者对SE中应用程序的访问请求时,会重新获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:从所述目标访问控制规则库中选择出与所述任一访问者的访问请求对应的目标访问控制规则;根据所述目标访问控制规则对所述任一访问者进行鉴权;在所述任一访问者鉴权通过时,根据所述任一应用程序的标识信息从所述目标逻辑信道库中选择出目标逻辑信道,以使用所述目标逻辑信道完成所述任一访问者和所述任一SE模块之间的命令交互。
在该技术方案中,在确定目标访问控制规则库和目标逻辑信道库之后,可以根据具体的访问请求确定对应的目标访问控制规则和目标逻辑信道,从而在通过目标访问控制规则鉴权后,使用目标逻辑信道完成任一访问者和任一SE模块之间的命令交互。其中,该目标逻辑信道只能用于此次业务,新的业务请求使用其他逻辑通道,直到此次业务结束,释放该逻辑通道该逻辑通道才能再次被使用。
在上述技术方案中,优选地,根据所述目标访问控制规则对所述任一访问者进行鉴权,具体包括:获取所述任一访问者的访问者信息,将所述访问者信息与所述目标访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;在判断结果为所述任一访问者有访问权限时,判断所述任一访问者鉴权通过,在判断结果为所述任一访问者没有访问权限时,判断所述任一访问者鉴权未通过。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,还包括:在所述任一访问者鉴权未通过时,拒绝所述任一访问者访问所述任一SE模块,并发出拒绝提示。
在该技术方案中,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
图2示出了根据本发明的实施例的多SE模块管理装置的框图。
如图2所示,根据本发明的实施例的多SE模块管理装置200,包括:获取单元202,获取所述多个SE模块中每个SE模块的模块标识信息;标识单元204,建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;选择单元206,在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。
在该技术方案中,通过模块标识来标识不同SE模块,并为每个SE模块建立对应的访问控制规则缓存库和逻辑信道库,并也用模块标识进行标识,这样,当终端接收到任一访问者的访问请求时,会根据访问请求想访问的SE模块的标识找到其对应的访问控制规则缓存库以及逻辑信道库,从而在通过访问控制规则缓存库鉴权后在对应的逻辑信道上完成与该SE模块的命令交互,以实现对多SE模块Applet应用的管理。
在上述技术方案中,优选地,还包括:更新单元208,在所述终端开机或在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,从所述多个SE模块中获取最新的访问控制规则,以更新对应的访问控制规则缓存库。
在该技术方案中,终端会事先将SE模块中的访问控制规则缓存到终端的内存中,从而形成访问控制规则缓存库,以完成初始化工作,当其接收到访问者对SE中应用程序的访问请求时,会重新获取SE中的访问控制规则,并将新获取的访问控制规则与记录的访问控制规则进行对比,从而判断是否有增加的访问控制规则,在有新增的访问控制规则时,对记录的访问控制规则进行更新。这样,可以保证终端侧的访问控制规则缓存始终与SE中的访问控制规则一致,以完成对SE的安全访问控制的管理。
在上述技术方案中,优选地,还包括:规则选择单元210,从所述目标访问控制规则库中选择出与所述任一访问者的访问请求对应的目标访问控制规则;鉴权单元212,根据所述目标访问控制规则对所述任一访问者进行鉴权;信道选择单元214,在所述任一访问者鉴权通过时,根据所述任一应用程序的标识信息从所述目标逻辑信道库中选择出目标逻辑信道,以使用所述目标逻辑信道完成所述任一访问者和所述任一SE模块之间的命令交互。
在该技术方案中,在确定目标访问控制规则库和目标逻辑信道库之后,可以根据具体的访问请求确定对应的目标访问控制规则和目标逻辑信道,从而在通过目标访问控制规则鉴权后,使用目标逻辑信道完成任一访问者和任一SE模块之间的命令交互。其中,该目标逻辑信道只能用于此次业务,新的业务请求使用其他逻辑通道,直到此次业务结束,释放该逻辑通道该逻辑通道才能再次被使用。
在上述技术方案中,优选地,所述鉴权单元212具体用于:获取所述任一访问者的访问者信息,将所述访问者信息与所述目标访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;在判断结果为所述任一访问者有访问权限时,判断所述任一访问者鉴权通过,在判断结果为所述任一访问者没有访问权限时,判断所述任一访问者鉴权未通过。
在该技术方案中,访问控制规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE中的Applet应用程序,也可以定义允许访问的具体指令。将访问者信息和访问控制规则进行匹配,可以判断出访问者是否有访问权限,在访问者有访问权限时,允许其访问请求的对应资源,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
在上述技术方案中,优选地,还包括:提示单元216,在所述任一访问者鉴权未通过时,拒绝所述任一访问者访问所述任一SE模块,并发出拒绝访问的提示。
在该技术方案中,在访问者没有访问权限时,拒绝访问,并可提示用户非法访问,从而保证SE中数据的安全性。
下面结合图3至图5详细说明本发明的技术方案。
图3示出了根据本发明的实施例的终端的结构图。
如图3所示,描述了本发明实现的基本实现框图。其中,应用程序客户端302是应用软件(即访问者),如手机钱包客户端等,其会和某个或某些SE模块相对应;多SE访问接入304为应用程序客户端提供访问SE的接口,针对不同SE模块的访问用访问标识SE_ID来区分;访问控制规则服务306主要用于对SE的安全访问管理,阻止对SE资源的非授权访问和非法攻击,其中存储了每个SE模块的访问控制规则缓存库,不同SE模块的规则库用SE_ID来区分;适配层308负责将访问接入发送的命令适配发送到相应的SE中,实现客户端应用程序与SE之间的APDU命令交互。其中存储了使用逻辑信道库,用于管理使用中的逻辑信道。不同SE模块的使用逻辑信道库用SE_ID来区分。该模块会通过SE_ID和需要访问Applet应用的AID参数与SE模块建立逻辑信道,并将该逻辑信道存储在对应的使用逻辑信道库中,每个使用逻辑信道库可存储多个逻辑信道,以支持多业务并发的处理,可根据需要及SE模块的支持情况设定支持的最大逻辑信道个数;多SE模块310是集成了多个SE模块,每个SE集成的方式可以不同,也可以相同。每个SE模块用于存储了各类银行卡、身份卡、门禁卡等金融安全类应用以及用户的敏感数据(如密钥、余额等)。
本发明主要针对多SE模块的applet应用进行管理,多SE模块可按照业务需要进行组合,如支持双SWP-SIM卡的多SE的终端、支持单SWP-SIM卡且SD卡也集成SE的终端等等。
在图3中的访问控制规则服务306中会根据SE_ID来建立多个对应的访问控制规则缓存库,用于对每个SE模块的访问控制鉴权,实现对各SE模块的安全访问管理。各访问控制规则缓存库使用SE_ID来区分,各访问控制规则缓存库存储了具体的访问控制规则,这些规则定义了哪个(或哪些)客户端应用可以访问哪个(或哪些)SE Applet应用,也可以定义允许访问的具体指令。在终端开机初始化时或客户端应用程序需要访问SE模块时,终端会从SE模块中读取最新的访问控制规则存储在终端的访问控制规则缓存库中。另外在适配层310中还存储了使用逻辑信道库,为各SE模块管理使用中的逻辑信道,每个使用逻辑信道库可存储多个逻辑信道,以支持多业务并发的处理,可根据需要及SE模块的支持情况来设定支持的最大逻辑信道个数,各逻辑信道用逻辑信道号来标识。各SE模块的使用逻辑信道库使用SE_ID来区分。
如图4所示,根据本发明的实施例的多SE模块管理方法的具体流程包括:
步骤402,有客户端应用通过SE访问接入模块进行业务请求。
步骤404,根据客户端应用下发的SE_ID来更新对应的SE模块的访问控制规则缓存库。在访问控制规则服务306中缓存了多个访问控制规则缓存库,个数与SE模块的个数相同,由SE_ID来标识。
步骤406,规则更新后,使用对应的规则缓存库,对客户端应用进行鉴权。
步骤408,判断鉴权是否通过,在判断结果为是时,进入步骤410,否则,进入步骤412。
步骤410,在鉴权通过后,由适配层310通过SE_ID和需要访问Applet应用的AID参数与SE模块建立逻辑信道,逻辑信道存储在对应SE_ID的使用逻辑信道库中,建立的逻辑信道仅能用于此次业务,新业务请求使用其他逻辑信道,直到此次业务完成后,释放该逻辑信道,该逻辑信道才能再次被使用。最终访问SE的业务请求会在该逻辑信道上完成与SE模块的APDU命令交互。
步骤412,如鉴权未通过,则拒绝访问,并提示用户。
在图4中提到在鉴权通过后会通过SE_ID和需要访问Applet应用的AID参数与SE模块建立逻辑信道,下面以双SWP-SIM卡的多SE的终端为例来描述这一过程。
图5中的UICC1_SE是指集成在用户智能卡1中的SE模块,UICC2_SE是指集成在用户智能卡2中的SE模块,假设UICC1_SE的SE_ID为1,而UICC2_SE的SE_ID为2。其具体步骤包括:
步骤502,判断SE_ID是否为1,在判断结果为是时,进入步骤504,否则,进入步骤510。
步骤504,调用UICC1_SE的驱动接口向UICC1_SE模块发送建立逻辑信道的请求。
步骤506,UICC1_SE在建立逻辑信道成功后,返回逻辑信道号。
步骤508,终端将该逻辑信道号存储在对应的使用逻辑信道库中。
步骤510,判断SE_ID是否为2,在判断结果为是时,进入步骤512,否则,进入步骤520。
步骤512,调用UICC2_SE的驱动接口向UICC2_SE模块发送建立逻辑信道的请求。
步骤514,UICC2_SE在建立逻辑信道成功后,返回逻辑信道号。
步骤516,终端将该逻辑信道号存储在对应的使用逻辑信道库中。
步骤518,提示用户无效SE_ID,并禁止访问。
以上结合附图详细说明了本发明的技术方案,本发明主要通过SE_ID来标识不同SE模块,并为每个SE模块建立对应的访问控制规则缓存库和使用逻辑信道库,终端会根据SE_ID将客户端应用对某一SE模块的访问请求经访问控制规则缓存库鉴权后在对应的逻辑信道上完成与该SE模块的命令交互,以完成对多SE模块Applet应用的管理。通过本发明的技术方案,可使得在一个NFC终端上实现对多个SE模块的有效管理,提高用户体验。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种多SE模块管理方法,用于终端,所述终端包括多个SE模块,其特征在于,包括:
获取所述多个SE模块中每个SE模块的模块标识信息;
建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;
在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。
2.根据权利要求1所述的多SE模块管理方法,其特征在于,还包括:
在所述终端开机或在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,从所述多个SE模块中读取最新的访问控制规则,以更新对应的访问控制规则缓存库。
3.根据权利要求1所述的多SE模块管理方法,其特征在于,还包括:
从所述目标访问控制规则库中选择出与所述任一访问者的访问请求对应的目标访问控制规则;
根据所述目标访问控制规则对所述任一访问者进行鉴权;
在所述任一访问者鉴权通过时,根据所述任一应用程序的标识信息从所述目标逻辑信道库中选择出目标逻辑信道,以使用所述目标逻辑信道完成所述任一访问者和所述任一SE模块之间的命令交互。
4.根据权利要求3所述的多SE模块管理方法,其特征在于,根据所述目标访问控制规则对所述任一访问者进行鉴权,具体包括:
获取所述任一访问者的访问者信息,将所述访问者信息与所述目标访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;
在判断结果为所述任一访问者有访问权限时,判断所述任一访问者鉴权通过,
在判断结果为所述任一访问者没有访问权限时,判断所述任一访问者鉴权未通过。
5.根据权利要求4所述的多SE模块管理方法,其特征在于,还包括:
在所述任一访问者鉴权未通过时,拒绝所述任一访问者访问所述任一SE模块,并发出拒绝提示。
6.一种多SE模块管理装置,用于终端,所述终端包括多个SE模块,其特征在于,包括:
获取单元,获取所述多个SE模块中每个SE模块的模块标识信息;
标识单元,建立与所述每个SE模块对应的访问控制规则缓存库和逻辑信道库,并使用所述每个SE模块的所述模块标识信息对所述访问控制规则缓存库和所述逻辑信道库进行标识;
选择单元,在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,根据所述任一SE模块的目标模块标识信息从多个访问控制规则缓存库和逻辑信道库中选择出目标访问控制规则库和目标逻辑信道库。
7.根据权利要求6所述的多SE模块管理装置,其特征在于,还包括:
更新单元,在所述终端开机或在接收到任一访问者对任一SE模块中任一应用程序的访问请求时,从所述多个SE模块中获取最新的访问控制规则,以更新对应的访问控制规则缓存库。
8.根据权利要求6所述的多SE模块管理装置,其特征在于,还包括:
规则选择单元,从所述目标访问控制规则库中选择出与所述任一访问者的访问请求对应的目标访问控制规则;
鉴权单元,根据所述目标访问控制规则对所述任一访问者进行鉴权;
信道选择单元,在所述任一访问者鉴权通过时,根据所述任一应用程序的标识信息从所述目标逻辑信道库中选择出目标逻辑信道,以使用所述目标逻辑信道完成所述任一访问者和所述任一SE模块之间的命令交互。
9.根据权利要求8所述的多SE模块管理装置,其特征在于,所述鉴权单元具体用于:
获取所述任一访问者的访问者信息,将所述访问者信息与所述目标访问控制规则进行匹配,以判断所述任一访问者是否有访问权限;
在判断结果为所述任一访问者有访问权限时,判断所述任一访问者鉴权通过,
在判断结果为所述任一访问者没有访问权限时,判断所述任一访问者鉴权未通过。
10.根据权利要求9所述的多SE模块管理装置,其特征在于,还包括:
提示单元,在所述任一访问者鉴权未通过时,拒绝所述任一访问者访问所述任一SE模块,并发出拒绝访问的提示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410626032.2A CN104462893B (zh) | 2014-11-06 | 2014-11-06 | 多se模块管理方法和多se模块管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410626032.2A CN104462893B (zh) | 2014-11-06 | 2014-11-06 | 多se模块管理方法和多se模块管理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104462893A true CN104462893A (zh) | 2015-03-25 |
| CN104462893B CN104462893B (zh) | 2017-08-11 |
Family
ID=52908920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410626032.2A Active CN104462893B (zh) | 2014-11-06 | 2014-11-06 | 多se模块管理方法和多se模块管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104462893B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105185002A (zh) * | 2015-09-09 | 2015-12-23 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
| CN106101984A (zh) * | 2016-05-31 | 2016-11-09 | 东莞宇龙通信科技有限公司 | 一种nfc移动支付终端的安全模块管理方法及终端 |
| CN106557372A (zh) * | 2015-09-30 | 2017-04-05 | 中国移动通信集团公司 | 一种应用共享的方法、装置及终端 |
| CN107273147A (zh) * | 2016-04-08 | 2017-10-20 | 中国移动通信有限公司研究院 | 一种多se的管理方法及装置 |
| CN107862516A (zh) * | 2016-09-21 | 2018-03-30 | 中国移动通信有限公司研究院 | 一种应用共享方法及相关设备与系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101894290A (zh) * | 2010-04-06 | 2010-11-24 | 上海复旦微电子股份有限公司 | 非接触通信装置 |
| CN102100121A (zh) * | 2008-07-20 | 2011-06-15 | 三星电子株式会社 | 在近距离通信中管理多个应用的方法和系统 |
| CN102325210A (zh) * | 2011-05-19 | 2012-01-18 | 武汉天喻信息产业股份有限公司 | 兼容多个运营商的通用移动支付终端及其实现方法 |
| CN102932036A (zh) * | 2012-09-25 | 2013-02-13 | 深圳市西龙同辉技术有限公司 | Nfc装置及nfc通信方法 |
-
2014
- 2014-11-06 CN CN201410626032.2A patent/CN104462893B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102100121A (zh) * | 2008-07-20 | 2011-06-15 | 三星电子株式会社 | 在近距离通信中管理多个应用的方法和系统 |
| CN101894290A (zh) * | 2010-04-06 | 2010-11-24 | 上海复旦微电子股份有限公司 | 非接触通信装置 |
| CN102325210A (zh) * | 2011-05-19 | 2012-01-18 | 武汉天喻信息产业股份有限公司 | 兼容多个运营商的通用移动支付终端及其实现方法 |
| CN102932036A (zh) * | 2012-09-25 | 2013-02-13 | 深圳市西龙同辉技术有限公司 | Nfc装置及nfc通信方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105185002A (zh) * | 2015-09-09 | 2015-12-23 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
| CN105185002B (zh) * | 2015-09-09 | 2018-06-12 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
| CN106557372A (zh) * | 2015-09-30 | 2017-04-05 | 中国移动通信集团公司 | 一种应用共享的方法、装置及终端 |
| CN106557372B (zh) * | 2015-09-30 | 2020-05-26 | 中国移动通信集团公司 | 一种应用共享的方法、装置及终端 |
| CN107273147A (zh) * | 2016-04-08 | 2017-10-20 | 中国移动通信有限公司研究院 | 一种多se的管理方法及装置 |
| CN106101984A (zh) * | 2016-05-31 | 2016-11-09 | 东莞宇龙通信科技有限公司 | 一种nfc移动支付终端的安全模块管理方法及终端 |
| CN106101984B (zh) * | 2016-05-31 | 2019-08-02 | 东莞宇龙通信科技有限公司 | 一种nfc移动支付终端的安全模块管理方法及终端 |
| CN107862516A (zh) * | 2016-09-21 | 2018-03-30 | 中国移动通信有限公司研究院 | 一种应用共享方法及相关设备与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104462893B (zh) | 2017-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101463586B1 (ko) | 비접촉 스마트 카드용 로컬 신뢰 서비스 매니저 | |
| US8621168B2 (en) | Partitioning the namespace of a contactless smart card | |
| EP2183728B1 (en) | Method, system and trusted service manager for securely transmitting an application to a mobile phone | |
| US8769656B2 (en) | Method and trusted service manager for providing fast and secure access to applications on an IC card | |
| CN104462893A (zh) | 多se模块管理方法和多se模块管理装置 | |
| CN105653470A (zh) | 用于交换mifare应用程序的移动通信设备及方法 | |
| JP6923582B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| US9807595B2 (en) | Terminal read with smart card update list | |
| JP4972706B2 (ja) | 独自のメモリ装置識別表示を管理する方法、サーバー及びモバイル通信装置 | |
| CN105630811A (zh) | 访问控制规则的更新方法及更新系统 | |
| CN104349321A (zh) | 一种安全访问鉴权方法、访问请求发送方法及装置 | |
| AU2013222020B2 (en) | Local trusted services manager for a contactless smart card | |
| CN104268485A (zh) | Se中访问控制规则的访问方法和访问装置及终端 | |
| KR101404713B1 (ko) | 금융 Micro SD 관리 시스템 및 그 방법 | |
| WO2012004141A1 (en) | Method of exchanging data between a contactless card and a microprocessor card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |