CN107454112A - 一种访问可信应用的方法及其系统 - Google Patents
一种访问可信应用的方法及其系统 Download PDFInfo
- Publication number
- CN107454112A CN107454112A CN201710910854.7A CN201710910854A CN107454112A CN 107454112 A CN107454112 A CN 107454112A CN 201710910854 A CN201710910854 A CN 201710910854A CN 107454112 A CN107454112 A CN 107454112A
- Authority
- CN
- China
- Prior art keywords
- trusted
- application
- trusted application
- access
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请揭示了一种访问可信应用的方法及其系统,使得对于运行于可信应用环境中的可信应用的访问更为便捷、安全,该方法包括如下步骤:接收访问请求;根据预先建立的可信列表,判断是否允许访问所述可信应用;如果允许访问,则访问所述可信应用。本申请的访问可信应用的方法和系统应用于安全访问领域。
Description
技术领域
本申请涉及安全访问领域,尤其涉及一种访问可信应用的方法及其系统。
背景技术
随着移动终端的迅猛发展,与移动终端相适应的各种应用也井喷式涌出,其中既包括可信任的应用,例如官方认证的应用,也包括非可信任的应用,例如用户自己下载的应用,如何对这些应用进行统一管理,以使得移动终端的软件和硬件处于相对安全地环境是移动终端中亟待解决的问题。
发明内容
本申请的目的在于提供一种访问可信应用的方法及其系统,以及应用该可信应用的方法和系统的终端,用于提升现有终端的安全性能。
基于此,本申请提出一种访问可信应用的方法,所述可信应用运行于可信环境中,该方法包括如下步骤:
接收访问请求;
根据预先建立的可信列表,判断是否允许访问所述可信应用;
如果允许访问,则访问所述可信应用。
进一步的,访问请求中携带访问的可信应用的标识以及鉴权信息。
进一步的,可信列表包括存储公共应用标识的多个可信应用列表。
进一步的,根据预先建立的可信列表,判断是否允许访问所述可信应用,包括如下子步骤:
解析访问请求,获得可信应用的标识和鉴权信息;
根据鉴权信息和可信应用列表判断是否允许访问所述可信应用。
进一步的,根据鉴权信息和可信应用列表判断是否允许访问所述可信应用包括如下子步骤:
根据解析获得的鉴权信息,对请求访问的公共应用进行鉴权;
如果鉴权通过,则根据鉴权信息中的公共应用标识,查找可信应用列表,判断该公共应用标识是否在可信应用列表中;
如果在可信应用列表中,则允许该公共应用对所述可信应用访问。
本申请的访问方法,可使得对于运行于可信应用环境中的可信应用的访问更为便捷、安全。同时,由于采用多参数鉴权,使得对于非可信应用程序的认证获得保证,进一步结合了权限管理的方式,使得对于可信应用的访问具有更多的选择性。
本申请还保护一种访问可信应用的系统,包括运行可信应用的可信环境,其特征在于,包括如下部件:
通信装置,接收对可信应用的访问请求;
操作装置,根据预先建立的可信列表,判断是否允许访问所述可信应用;如果允许访问,则访问所述可信应用。
进一步的,该系统还包括存储装置,存储所述可信列表,其中可信列表包括存储公共应用标识的多个可信应用列表。
进一步的,该系统还包括可信应用列表部件,验证访问请求的合法性。
进一步的,该系统中的操作装置解析访问请求,获得可信应用的标识和鉴权信息,根据鉴权信息和可信应用列表判断是否允许访问所述可信应用。
本申请还请求保护一种终端,包括如上所述的访问可信应用的系统,还包括存储非可信应用的公共环境。
本申请的访问可信应用的系统以及终端所获得的效果和上述方法一致,在此不再赘述。
附图说明
图1为本申请终端的结构示意图;
图2为本申请访问可信应用的系统的结构示意图;
图3为本申请访问可信应用的方法流程图;
图4为本申请访问可信应用的系统的结构图;
图5为操作装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决现有的移动终端的安全性问题,利用终端的硬件和软件,构造可信应用环境和公共环境,如图1所示,其中移动终端110包括公共环境120和可信应用环境130,可信应用环境130由一组硬件和软件构成,其中硬件包括:处理单元、连接总线、存储器以及各种外部设备;软件包括安全操作系统内核以及各种可信应用;公共环境120包括与可信执行环境类似的硬件和软件构成,但其中的应用是非可信应用。运行在公共环境中的软件和硬件,无需认证,可以直接访问,但是运行于可信应用环境中的软件和硬件,需要经过认证之后才能使用。公共环境120和可信应用环境130通过通信部件实现通信。
实施例一
以上结合附图1介绍了移动终端110的结构,下面结合附图2进一步介绍本申请一种访问可信应用的方法,包括如下步骤:
步骤S210、接收访问请求;
可信应用环境接收对可信应用的访问请求,其中访问请求中携带请求访问的可信应用的标识以及鉴权信息。其中请求访问的可信应用的标识可以是一个或多个。
步骤S220、根据预先建立的可信列表,判断是否允许访问所述可信应用;
本申请预先建立可信列表,并将其存储于可信应用环境中,其中建立的可信列表为可信应用列表,可信应用列表中存储公共应用标识,可选地,也可包括对该可信应用的访问权限,该可信列表标识表结构如表一所示:
表一
其中的访问权限也仅为示例性示出,本领域技术人员可根据实际需要添加其他权限。
可选地,当可信应用多于一个时,可以进一步的建立可信列表标识表,即可信列表包括一个可信列表标识表,以及多个可信应用列表。其中可信列表标识表中存放可信应用的标识,以及该可信应用对应的可信应用列表的位置,可选地,还可包括对该可信应用的访问权限,其结构如下表一所示:
可信应用标识 | 可信列表标识表存储位置 | 访问权限 |
1 | 位置1 | 可读、可写 |
2 | 位置2 | 只读 |
3 | 位置3 | 只写 |
表二
其中的访问权限仅为示例性,还可包括其他权限。
该步骤包括如下子步骤:
步骤S2201、解析访问请求,获得可信应用的标识和鉴权信息;
对获得的访问请求进行解析,获得请求中携带的可信应用的标识和鉴权信息,其中鉴权信息中包括公共应用标识、公钥信息、模值等用于鉴权的信息。
步骤S2202、访问可信列表标识表,判断访问请求中携带的可信应用的标识是否在可信列表标识表中;
该步骤是可选步骤,当可信列表中存在可信列表标识表时才执行,否则直接执行步骤S2203。
访问可信列表标识表,判断访问请求中携带的可信应用的标识是否在可信列表标识表中;
访问上述表二,判断解析获得的可信应用的标识是否在表二中,如果存在表二中,表示需要访问的可信应用存在。
进一步地,可选地,如果表二中存在访问权限,可读取访问权限,判断对其的访问请求是否满足访问权限,例如访问请求是对可信应用的写入,但是访问权限中是只读,则无需进一步处理,只需结束该访问方法,并返回信息即可;如果满足访问权限,则继续下述步骤S2203。对于访问权限的判断是可选步骤,也可不经过权限判断而在判断出携带的可信应用的标识在可信列表标识表中时,直接进入步骤S2203。
步骤S2203、根据可信应用的标识,访问所述可信应用对应的可信应用列表;
根据可信应用的标识可通过步骤S2202获得可信应用的存储位置,或者在没有执行步骤S2202时,直接使用可信应用的标识查找可信应用列表,这可通过本领域公知的地址转换等方式获得;
在查找到可信应用列表后,根据解析获得的鉴权信息,对请求访问的公共应用进行鉴权,如果鉴权通过,则证明请求访问的公共应用是合法应用,进一步根据鉴权信息中的公共应用标识,查找可信应用列表,判断该公共应用标识是否在可信应用列表中。如果在可信应用列表中,则表示该可信应用允许该公共应用对其访问,如果没在可信应用列表中,就表示该可信应用不允许该公共应用对其的访问。
进一步地,如果可信应用列表中存在访问权限,还可以获得该公共应用对该可信应用的访问权限。例如,可通过鉴权信息获得该公共应用的权利等级,只有大于某一预定阈值时,才允许该公共应用访问该可信应用。
步骤S230、如果允许访问,则访问所述可信应用。
如果步骤S220中判断允许访问,则开启访问所述可信应用的线程,处理该访问请求。
实施例二
以上结合附图2介绍了实施例一中的访问可信应用的方法,以下结合附图3介绍本申请如何预先建立可信列表,包括如下步骤:
步骤S310、建立可信应用列表空白表格;
如上述表一中所述,建立一个仅包括标题栏的空白表格;
步骤S320、是否存在更新请求?如果存在更新则进入步骤S330;
步骤S330、根据更新请求更新可信应用列表。
如果存在可信列表标识表,则使用与步骤S310-S330同样地步骤建立可信列表标识表,并更新可信列表标识表。
实施例三
以上结合实施例一和实施例二介绍了访问可信应用的方法以及建立可信应用列表和可信列表标识表的方法,下面结合图4,介绍访问可信应用的系统400,该可信应用系统400运行实施例一和实施例二中方法,包括运行可信应用的可信环境,该系统如图4所示,包括如下部件:
通信装置410,接收对可信应用的访问请求;
通信装置410接收对可信应用的访问请求,其中访问请求中携带请求访问的可信应用的标识以及鉴权信息。其中请求访问的可信应用的标识可以是一个或多个。
操作装置420,根据预先建立的可信列表,判断是否允许访问所述可信应用;如果允许访问,则访问所述可信应用。
包括如图5所示的子部件:
解析部件510、解析访问请求,获得可信应用的标识和鉴权信息;
对获得的访问请求进行解析,获得请求中携带的可信应用的标识和鉴权信息,其中鉴权信息中包括公共应用标识、公钥信息、模值等用于鉴权的信息。
可信列表标识表访问部件520、访问可信列表标识表,判断访问请求中携带的可信应用的标识是否在可信列表标识表中;
该部件是可选部件,当可信列表中存在可信列表标识表时才存在该部件。
可信列表标识表访问部件520访问可信列表标识表,判断访问请求中携带的可信应用的标识是否在可信列表标识表中;
访问上述表二,判断解析获得的可信应用的标识是否在表二中,如果存在表二中,表示需要访问的可信应用存在。
进一步地,可选地,如果表二中存在访问权限,可读取访问权限,判断对其的访问请求是否满足访问权限,例如访问请求是对可信应用的写入,但是访问权限中是只读,则无需进一步处理,返回信息即可;如果满足访问权限,则发送信号给可信应用列表部件530。对于访问权限的判断是可选步骤,也可不经过权限判断而在判断出携带的可信应用的标识在可信列表标识表中时,直接发送信号给可信应用列表部件530
可信应用列表部件530、根据可信应用的标识,访问所述可信应用对应的可信应用列表;
根据可信应用的标识可通过可信列表标识表访问部件520获得可信应用的存储位置,或者在没有可信列表标识表访问部件520时,直接使用可信应用的标识查找可信应用列表,这可通过本领域公知的地址转换等方式获得;
在查找到可信应用列表后,根据解析获得的鉴权信息,可信应用列表部件530验证访问请求的合法性,即对请求访问的公共应用进行鉴权,如果鉴权通过,则证明请求访问的公共应用是合法应用,进一步根据鉴权信息中的公共应用标识,查找可信应用列表,判断该公共应用标识是否在可信应用列表中。如果在可信应用列表中,则表示该可信应用允许该公共应用对其访问,如果没在可信应用列表中,就表示该可信应用不允许该公共应用对其的访问。
进一步地,如果可信应用列表中存在访问权限,还可以获得该公共应用对该可信应用的访问权限。例如,可通过鉴权信息获得该公共应用的权利等级,只有大于某一预定阈值时,才允许该公共应用访问该可信应用。
访问部件540、如果允许访问,则访问所述可信应用。
如果可信应用列表部件530判断允许访问,则访问部件540开启访问所述可信应用的线程,处理该访问请求。
进一步地,该访问可信应用的系统还可包括存储部件(未在图4中示出),存储所述可信列表,其中可信列表包括存储公共应用标识的多个可信应用列表,当可信应用多于一个时,进一步的可信列表还可包括可信列表标识表。
实施例四
本申请进一步地,保护一种终端,该终端包括如上所述的访问可信应用的系统,该终端还包括公共环境,该公共环境中存储非可信应用。
同时,本申请还保护一种存储介质,该存储介质上存储计算机程序,该计算机程序可由执行结构执行,其执行步骤如实施例一和二中所述的访问可信应用的方法,以及建立可信列表标识表以及可信应用列表的方法中所描述的步骤。
这里本发明的描述和应用是说明性的,并非想将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是可能的,对于那些本领域的普通技术人员来说实施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是,在不脱离本发明的精神或本质特征的情况下,本发明可以以其它形式、结构、布置、比例,以及用其它组件、材料和部件来实现。在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进行其它变形和改变。
Claims (10)
1.一种访问可信应用的方法,所述可信应用运行于可信环境中,其特征在于,该方法包括如下步骤:
接收访问请求;
根据预先建立的可信列表,判断是否允许访问所述可信应用;
如果允许访问,则访问所述可信应用。
2.如权利要求1所述的访问可信应用的方法,其中,访问请求中携带访问的可信应用的标识以及鉴权信息。
3.如权利要求1所述的访问可信应用的方法,其中可信列表包括存储公共应用标识的多个可信应用列表。
4.如权利要求3所述的访问可信应用的方法,其中根据预先建立的可信列表,判断是否允许访问所述可信应用,包括如下子步骤:
解析访问请求,获得可信应用的标识和鉴权信息;
根据鉴权信息和可信应用列表判断是否允许访问所述可信应用。
5.如权利要求4所述的访问可信应用的方法,其中根据鉴权信息和可信应用列表判断是否允许访问所述可信应用包括如下子步骤:
根据解析获得的鉴权信息,对请求访问的公共应用进行鉴权;
如果鉴权通过,则根据鉴权信息中的公共应用标识,查找可信应用列表,判断该公共应用标识是否在可信应用列表中;
如果在可信应用列表中,则允许该公共应用对所述可信应用访问。
6.一种访问可信应用的系统,包括运行可信应用的可信环境,其特征在于,包括如下部件:
通信装置,接收对可信应用的访问请求;
操作装置,根据预先建立的可信列表,判断是否允许访问所述可信应用;如果允许访问,则访问所述可信应用。
7.如权利要求6所述的访问可信应用的系统,还包括存储装置,存储所述可信列表,其中可信列表包括存储公共应用标识的多个可信应用列表。
8.如权利要求6所述的访问可信应用的系统,还包括可信应用列表部件,验证访问请求的合法性。
9.如权利要求7所述的访问可信应用的系统,其中操作装置解析访问请求,获得可信应用的标识和鉴权信息,根据鉴权信息和可信应用列表判断是否允许访问所述可信应用。
10.一种终端,包括如权利要求6-9之一所述的访问可信应用的系统,还包括存储非可信应用的公共环境。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710910854.7A CN107454112A (zh) | 2017-09-29 | 2017-09-29 | 一种访问可信应用的方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710910854.7A CN107454112A (zh) | 2017-09-29 | 2017-09-29 | 一种访问可信应用的方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107454112A true CN107454112A (zh) | 2017-12-08 |
Family
ID=60497409
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710910854.7A Pending CN107454112A (zh) | 2017-09-29 | 2017-09-29 | 一种访问可信应用的方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107454112A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110224980A (zh) * | 2019-05-05 | 2019-09-10 | 清华大学 | 一种可信mptcp传输方法及系统 |
CN114598489A (zh) * | 2020-11-20 | 2022-06-07 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140019744A1 (en) * | 2012-07-12 | 2014-01-16 | Edward K.Y. Jung | Right of Individual Privacy and Public Safety Protection Via Double Encrypted Lock Box |
CN103914713A (zh) * | 2012-12-30 | 2014-07-09 | 北京握奇数据系统有限公司 | 一种改变智能卡应用类型的方法、智能终端、服务平台与系统 |
CN104376273A (zh) * | 2014-11-18 | 2015-02-25 | 乐视致新电子科技(天津)有限公司 | 一种数据访问控制方法和装置 |
CN104683336A (zh) * | 2015-02-12 | 2015-06-03 | 中国科学院信息工程研究所 | 一种基于安全域的安卓隐私数据保护方法及系统 |
CN105224860A (zh) * | 2015-09-11 | 2016-01-06 | 东莞市微云系统科技有限公司 | 一种云桌面应用程序安全管理方法 |
CN105592091A (zh) * | 2015-12-30 | 2016-05-18 | 中国银联股份有限公司 | 安全性应用下载方法 |
CN105678183A (zh) * | 2015-12-30 | 2016-06-15 | 青岛海信移动通信技术股份有限公司 | 一种智能终端的用户数据管理方法及装置 |
CN105809036A (zh) * | 2016-04-01 | 2016-07-27 | 中国银联股份有限公司 | 一种tee访问控制方法以及实现该方法的移动终端 |
CN106295350A (zh) * | 2015-06-04 | 2017-01-04 | 联想移动通信软件(武汉)有限公司 | 一种可信执行环境的身份验证方法、装置及终端 |
-
2017
- 2017-09-29 CN CN201710910854.7A patent/CN107454112A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140019744A1 (en) * | 2012-07-12 | 2014-01-16 | Edward K.Y. Jung | Right of Individual Privacy and Public Safety Protection Via Double Encrypted Lock Box |
CN103914713A (zh) * | 2012-12-30 | 2014-07-09 | 北京握奇数据系统有限公司 | 一种改变智能卡应用类型的方法、智能终端、服务平台与系统 |
CN104376273A (zh) * | 2014-11-18 | 2015-02-25 | 乐视致新电子科技(天津)有限公司 | 一种数据访问控制方法和装置 |
CN104683336A (zh) * | 2015-02-12 | 2015-06-03 | 中国科学院信息工程研究所 | 一种基于安全域的安卓隐私数据保护方法及系统 |
CN106295350A (zh) * | 2015-06-04 | 2017-01-04 | 联想移动通信软件(武汉)有限公司 | 一种可信执行环境的身份验证方法、装置及终端 |
CN105224860A (zh) * | 2015-09-11 | 2016-01-06 | 东莞市微云系统科技有限公司 | 一种云桌面应用程序安全管理方法 |
CN105592091A (zh) * | 2015-12-30 | 2016-05-18 | 中国银联股份有限公司 | 安全性应用下载方法 |
CN105678183A (zh) * | 2015-12-30 | 2016-06-15 | 青岛海信移动通信技术股份有限公司 | 一种智能终端的用户数据管理方法及装置 |
CN105809036A (zh) * | 2016-04-01 | 2016-07-27 | 中国银联股份有限公司 | 一种tee访问控制方法以及实现该方法的移动终端 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110224980A (zh) * | 2019-05-05 | 2019-09-10 | 清华大学 | 一种可信mptcp传输方法及系统 |
CN114598489A (zh) * | 2020-11-20 | 2022-06-07 | 华为技术有限公司 | 一种确定信任终端的方法及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107403106B (zh) | 基于终端用户的数据库细粒度访问控制方法 | |
CN104683336B (zh) | 一种基于安全域的安卓隐私数据保护方法及系统 | |
KR101889577B1 (ko) | 부정조작 불가능한 위치 제공 서비스 | |
CN102176226B (zh) | 安全授权查询 | |
US7672483B2 (en) | Controlling and customizing access to spatial information | |
CN104735091B (zh) | 一种基于Linux系统的用户访问控制方法和装置 | |
CN104753677B (zh) | 密码分级控制方法和系统 | |
CN106874461A (zh) | 一种工作流引擎支持多数据源配置安全访问系统及方法 | |
CN104662547A (zh) | 移动应用管理 | |
CN106534148A (zh) | 应用的访问管控方法及装置 | |
CN102413198A (zh) | 一种基于安全标记的访问控制方法和相关系统 | |
CN108846603A (zh) | 基于区块链的物流追溯方法、用户设备、存储介质及装置 | |
US20080066158A1 (en) | Authorization Decisions with Principal Attributes | |
CN107040520A (zh) | 一种云计算数据共享系统及方法 | |
CN106528269A (zh) | 轻量级的虚拟机访问控制系统及控制方法 | |
CN102930230A (zh) | 计算设备标识方法与装置 | |
CN107454112A (zh) | 一种访问可信应用的方法及其系统 | |
Washizaki et al. | Taxonomy and literature survey of security pattern research | |
CN117195297B (zh) | 基于erp的数据安全与隐私保护系统及方法 | |
CN111090616B (zh) | 一种文件管理方法、对应装置、设备及存储介质 | |
US7987513B2 (en) | Data-use restricting method and computer product | |
CN107562514A (zh) | 一种物理内存访问控制与隔离方法 | |
JP2009146198A (ja) | 情報管理システム | |
CN106130968A (zh) | 一种身份认证方法、及系统 | |
CN108205630A (zh) | 一种多用户下基于SeLinux的资源访问方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171208 |