CN107766751A - 一种访问控制方法、装置、电子设备及安全芯片 - Google Patents
一种访问控制方法、装置、电子设备及安全芯片 Download PDFInfo
- Publication number
- CN107766751A CN107766751A CN201610686608.3A CN201610686608A CN107766751A CN 107766751 A CN107766751 A CN 107766751A CN 201610686608 A CN201610686608 A CN 201610686608A CN 107766751 A CN107766751 A CN 107766751A
- Authority
- CN
- China
- Prior art keywords
- application
- logical channel
- safety chip
- electronic equipment
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种访问控制方法、装置、电子设备及安全芯片,涉及通信技术。其中,应用于电子设备侧的访问控制方法包括:获取安全芯片分配的用于所述电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;在所述逻辑通道空闲时间超过预定时间门限时,向所述安全芯片发送逻辑通道关闭请求,使得所述安全芯片在接收到所述逻辑通道关闭请求后释放所述逻辑通道。本发明能够主动关闭长时间处于空闲状态的逻辑通道,从而释放掉该逻辑通道占用安全芯片的处理资源,避免安全芯片因资源耗尽而被迫重启;此外,及时对逻辑通道进行关闭还可以防止恶意程序通过逻辑通道窃取用户重要的信息,在安全性上也具有一定有益效果。
Description
技术领域
本发明涉及通信技术,尤其是一种访问控制方法、装置、电子设备及安全芯片。
背景技术
随着移动互联网及无线射频识别(radio frequency identification devices,RFID)技术的发展,终端设备上的智能卡(例如SIM卡、USIM卡等)由于具有安全数据存储及RFID能力,因此在移动互联网应用中发挥着越来越重要的作用,可广泛应用于移动远程支付、近场支付、移动办公、移动电子商务等业务中。
目前,智能卡为了在RFID、远程支付等业务领域有越来越广泛的应用,往往需要存储很多非常重要的个人数据。例如,在手机银行领域的应用上,银行方希望能够将智能卡实现类似于U盾(也称为:数字证书USBkey)的功能,因此要在智能卡上存储数字证书,并通过手机客户端应用软件与智能卡之间的交互,完成用户的帐户管理及安全支付。
出于安全性的角度,目前使用安全芯片作为终端与智能卡的通信接口,即终端上的应用需要通过安全芯片所建立的逻辑通道才能对智能卡进行访问。
但是,在上述现有技术的设计也存在缺陷,例如:逻辑通道建立后,若未能及时关闭,则会长时间占用安全芯片的处理资源,而安全芯片的处理资源是有限的,一旦耗尽,则可能导致系统重启。此外,逻辑通道一直处于开启状态时,恶意程序能够利用逻辑通道侵入到安全芯片,导致用户的重要信息被泄露,甚至发生财产损失等。
发明内容
本发明的目的是解决现有技术中逻辑通道长时间开启所带来的资源占用高,且容易被恶意程序攻击的问题。
为实现上述目的,一方面,本发明提供一种访问控制方法,用于一电子设备,包括:
获取安全芯片分配的用于所述电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
在所述逻辑通道空闲时间超过预定时间门限时,向所述安全芯片发送逻辑通道关闭请求,使得所述安全芯片在接收到所述逻辑通道关闭请求后释放所述逻辑通道。
可选地,所述获取安全芯片分配的用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道具体包括:
接收所述第一应用发送的请求访问所述第二应用的访问请求;
向所述安全芯片发送逻辑通道分配请求,使得所述安全芯片根据所述逻辑通道分配请求分配所述逻辑通道;
接收所述安全芯片返回的携带所述逻辑通道的逻辑通道分配响应消息。
可选地,所述访问控制方法还包括:
判断所述第一应用是否被授权访问所述安全芯片;
在所述第一应用被授权访问所述安全芯片时,进入所述向所述安全芯片发送逻辑通道分配请求的步骤。
可选地,所述访问控制方法还包括:
向所述第二应用发送第一应用选择消息;
接收所述第二应用返回的携带所述预定时间门限的第一应用选择响应消息。
可选地,所述访问控制方法还包括:
向所述第二应用发送第二应用选择消息;
接收所述第二应用返回的携带安全认证要求的第二应用选择响应消息;
发送所述安全认证要求到所述第一应用,使得所述第一应用根据所述安全认证要求与所述第二应用交互进行安全认证。
另一方面,本发明还提供一种用于一安全芯片的访问控制方法,包括:
分配用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
发送第二应用对应的预定时间门限到所述电子设备;
接收电子设备在所述逻辑通道空闲时间超过所述预定时间门限时发送的逻辑通道关闭请求;
释放所述逻辑通道。
可选地,所述访问控制方法还包括:
接收所述电子设备发送的请求选择所述第二应用的第一应用选择消息;
向所述电子设备发送携带所述预定时间门限的第一应用选择响应消息。
可选地,所述访问控制方法还包括:
接收所述电子设备发送的选择所述第二应用的第二应用选择消息;
向所述电子设备发送携带用于第一应用和第二应用进行安全认证的安全认证要求的第二应用选择响应消息,使得所述电子设备能够发送所述安全认证要求到所述第一应用。
此外,本发明还提提供一种访问控制装置,包括:
获取模块,用于获取安全芯片分配的用于所述电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
第一发送模块,用于在所述逻辑通道空闲时间超过预定时间门限时,向所述安全芯片发送逻辑通道关闭请求,使得所述安全芯片在接收到所述逻辑通道关闭请求后释放所述逻辑通道。
可选地,所述获取模块包括:
第一接收单元,用于接收所述第一应用发送的请求访问所述第二应用的访问请求;
发送单元,用于向所述安全芯片发送逻辑通道分配请求,使得所述安全芯片根据所述逻辑通道分配请求分配所述逻辑通道;
第二接收单元,用于接收所述安全芯片返回的携带所述逻辑通道的逻辑通道分配响应消息。
可选地,所述逻辑通道管理器还包括:
判断模块,用于判断所述第一应用是否被授权访问所述安全芯片;
其中,在所述第一应用被授权访问所述安全芯片时,所述发送单元向所述安全芯片发送逻辑通道分配请求。
可选地,所述电子设备还包括:
第二发送模块,用于向所述第二应用发送第一应用选择消息;
第一接收模块,用于接收所述第二应用返回的携带所述预定时间门限的第一应用选择响应消息。
可选地,所述逻辑通道管理器还包括:
第三发送模块,用于向所述第二应用发送第二应用选择消息;
第二接收模块,用于接收所述第二应用返回的携带安全认证要求的第二应用选择响应消息;
第四发送模块,用于发送所述安全认证要求到所述第一应用,使得所述第一应用根据所述安全认证要求与所述第二应用交互进行安全认证。
此外,本发明还提提供一种访问控制装置,应用于安全芯片,包括:
分配模块,用于分配用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
第五发送模块,用于发送第二应用对应的预定时间门限到所述电子设备;
第三接收模块,用于接收电子设备在所述逻辑通道空闲时间超过所述预定时间门限时发送的逻辑通道关闭请求;
释放模块,用于释放所述逻辑通道。
可选地,所述安全芯片还包括:
第四接收模块,用于接收所述电子设备发送的请求选择所述第二应用的第一应用选择消息;
第六发送模块,用于向所述电子设备发送携带所述预定时间门限的第一应用选择响应消息。
可选地,所述安全芯片还包括:
第五接收模块,接收所述电子设备发送的选择所述第二应用的第二应用选择消息;
第七发送模块,向所述电子设备发送携带用于第一应用和第二应用进行安全认证的安全认证要求的第二应用选择响应消息,使得所述电子设备能够发送所述安全认证要求到所述第一应用。
可选的本发明实施例还提供一种包括上述应用于电子设备的访问控制装置的电子设备和应用于安全芯片的访问控制装置的安全芯片。
本发明实施例具有如下有益效果:
本发明实施例能够主动关闭长时间处于空闲状态的逻辑通道,从而释放掉该逻辑通道占用安全芯片的处理资源,避免安全芯片因资源耗尽而被迫重启;此外,及时对逻辑通道进行关闭还可以防止恶意程序通过逻辑通道窃取用户重要的信息,在安全性上也具有一定有益效果。
附图说明
图1为本发明实施例的应用于电子设备侧的访问控制方法的步骤示意图;
图2为本发明实施例的应用于安全芯片侧的访问控制方法的步骤示意图;
图3为本发明实施例的访问控制方法的逻辑构架图;
图4为本发明实施例的访问控制方法的详细流程图;
图5为本发明实施例应用于电子设备侧的访问控制装置的结构示意图;
图6为本发明实施例应用于安全芯片侧的访问控制装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
针对现有技术中电子设备上的安全芯片因其逻辑通道未能及时关闭而带来的资源占用以及存在被恶意程序攻击的问题,本发明提供一种解决方案。
一方面,本发明的实施例提供一种应用于电子设备的访问控制方法,该电子设备可以是手机、PAD、电子手表等产品。如图1所示,本实施例的控制方法包括:
步骤11,获取安全芯片分配的用于电子设备上的第一应用和安全芯片上的第二应用进行交互的逻辑通道;
其中,作为示例性介绍,上述第一应用可以是电子设备安装的APP,如网购、饮食、交通等支持网络消费功能的软件;上述第二应用可以是基于SIM卡下的身份验证程序,也可以由硬件所提供的支持射频支付的应用功能;
步骤12,在逻辑通道空闲时间超过预定时间门限时,向安全芯片发送逻辑通道关闭请求,使得安全芯片在接收到逻辑通道关闭请求后释放该逻辑通道;
其中,作为示例性介绍,逻辑通道空闲可以是指第一应用与第二应用没有通过逻辑通道进行交互(包括信令交互和数据交互)。以支付为例,对于任意的应用而言,用户使用电子设备进行支付并不会消耗过多时间,因此在逻辑通道空闲状态持续达到一定时间后,则可以确定第一应用与第二应用之间已经完成服务,可以关闭两者之间的逻辑通道。
可见,本发明实施例的控制方法中,独立于第一应用,主动对逻辑通道空闲的持续时间进行判断,并在空闲时间大于预设门限后,控制安全芯片对其进行关闭,从而释放掉该逻辑通道资源,避免安全芯片因资源耗尽而被迫重启的现象发生。
此外,及时关闭逻辑通道资源还可以防止恶意程序通过激活的逻辑通道窃取用户重要的信息,提高了安全芯片的数据安全。
具体地,通过上述描述可以知道,本实施例中的第一应用指的是电子设备上所安装的第三方软件,而第二应用则是设置于安全芯片上的应用,其可能涉及到用户的重要的个人信息。在本发明的具体实施例中,该逻辑通道可能是基于各种需求被激活,一种典型的需求是,第一应用请求访问第二应用,此时,本发明实施例的访问控制方法中,所述获取安全芯片分配的用于所述电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道具体包括:
步骤121,接收第一应用发送的请求访问第二应用的访问请求;
步骤122,向安全芯片发送逻辑通道分配请求,使得安全芯片根据逻辑通道分配请求分配逻辑通道;
步骤123,接收安全芯片返回的携带逻辑通道的逻辑通道分配响应消息。
为了保证安全芯片中数据的安全性,如避免电子设备中用户无意安装的非法钓鱼软件也能够访问安全芯片,在本发明的具体实施例中,在分配逻辑通道之前预先对第一应用进行验证,只有验证通过的第一应用才会被允许访问安全芯片,此时,本发明实施例的访问控制方法还包括:
判断所述第一应用是否被授权访问所述安全芯片;
在所述第一应用被授权访问所述安全芯片时,进入所述向所述安全芯片发送逻辑通道分配请求的步骤。
在所述第一应用没有被授权访问所述安全芯片时,则直接结束流程。
上述的验证流程保证了安全芯片只能被授权的应用所访问,但应当了解的是,安全芯片中的应用与个人密切相关,如用户A的手机中一个公交支付应用是授权可以访问安全芯片的应用,当对于用户B而言,用户A并不想其可以通过公交支付应用访问用户A对应的应用。为了进一步确保访问的安全性,本发明具体实施例中,在电子设备对第一应用验证的同时,增加第二应用对第一应用的验证。
此时,本发明实施例的访问控制方法在上述步骤12之后,还包括:
步骤13,向第二应用发送第二应用选择消息;
步骤14,接收由第二应用返回的携带安全认证要求的第二应用选择响应消息;
步骤15,发送安全认证要求到第一应用,使得第一应用根据安全认证要求与第二应用交互进行安全认证。
在实际应用中,上述安全认证要求可以由用户自己去完成,例如用户需要输入密码、指纹等个人信息才能够完成的认证过程。作为示例性介绍,以指纹认证为例,用户在第一应用下注册有个人账号,该个人账号对应的支付密码为个人账号注册用户的指纹信息。若上述第二应用需要与第一应用之间再进一步进行安全认证,则在第二应用选择响应消息中携带安全认证要求,并通过安全芯片告知第一应用,使第一应用准备执行指纹的认证步骤。
之后本实施例可以激活电子设备上的指纹识别模块,用户通过指纹识别模块输入自己的指纹信息后,由第一应用和第二应用配合基于该指纹信息进行验证。若验证成功,则确定第一应用可以使用之前分配的逻辑通道,否则会关闭逻辑通道,结束流程。
本发明具体实施例中,在逻辑通道分配并开启之后,即可根据逻辑通道的空闲时间是否超过预定时间门限来决定是否关闭逻辑通道。
在本发明的具体实施例中,该预定时间门限可以通过多种方式来获取,对此分别说明如下。
实现方式一
在本实现方式一中,该预定时间门限由电子设备端决定。
该预定时间门限可以是一个固定的值,当也可以是与第二应用相对应的值,即不同类型的第二应用具有不同的预定时间门限。
如第二应用为与公交支付相关的应用时,由于公交支付的快速性和简单性,预定时间门限可以设置的短一些。而当第二应用为与网络购物支付相关的应用时,优于网络购物支付的复杂性(如用户需要输入支付密码等),则该预定时间门限则可以设置的长一些。
这种方式下,安全芯片分配好用于第一应用与第二应用交互的逻辑通道后,电子设备可以根据第二应用确定一合理的逻辑通道开启时间(即本文上述的预定时间门限)。
基于上述原理,实现方式一中,可以对不同类别的第二应用设置有不同的预设时间门限,例如将不需要输入支付密码即可完成支付的应用归为一类,并设定预定时间门限为10秒,将需要输入支付密码的应用归为另一类,并设定预定时间门限为30秒。
实现方式二
在本实现方式二中,该预定时间门限由安全芯片决定。
此时安全芯片设置有一存储单元,保存每一个第二应用所对应的逻辑通道的预定时间门限(该预定时间门限可以预先写入并固定,也可以实时更新,也可以实时确定)。
这种方式下,所述的访问控制方法还包括:
向所述第二应用发送第一应用选择消息;
接收所述第二应用返回的携带所述预定时间门限的第一应用选择响应消息。
以下对实时确定预定时间门限的方式简单说明如下。
如安全芯片可以确定当前剩余可用的逻辑通道资源,当剩余可用的逻辑通道资源较多时,则可以设置预定时间门限长一些,而当剩余可用的逻辑通道资源越少时,则可以设置预定时间门限短一些。
这种方式下,安全芯片能够根据自身的资源状况或应用的类型等提供合适的预定时间门限,实现了更加灵活的预定时间门限设置。
此外,与上述应用于电子设备的访问控制方法相对应,本发明另一实施例还提供一种应用于安全芯片的访问控制方法,如图2所示,包括:
步骤21,分配用于电子设备上的第一应用和安全芯片上的第二应用进行交互的逻辑通道;
步骤22,发送第二应用对应的预定时间门限到电子设备;
步骤23,接收电子设备在逻辑通道空闲时间超过预定时间门限时发送的逻辑通道关闭请求;
步骤24,释放上述逻辑通道。
显然,本实施例中安全芯片能够主动关闭长时间处于空闲状态的逻辑通道,避免安全芯片因逻辑通道资源耗尽而被迫重启;此外,及时对逻辑通道进行关闭还可以防止恶意程序通过逻辑通道窃取用户重要的信息,提高了安全芯片的安全性。
进一步地,为提高安全性,本实施例的预定时间门限可以由安全芯片确定,这种方式下,本实施例的访问控制方法在上述步骤21完成后,还包括:
接收电子设备发送的请求选择第二应用的第一应用选择消息;
确定第二应用对应的预定时间门限;
生成携带该预定时间门限的第一应用选择响应消息。
在步骤22中,通过第一应用选择响应消息将预定时间门限发送至电子设备。
此外,为了能够在上述基础之上进一步增加安全性,本实施的安全芯片在建立逻辑通道后,还再第一应用与第二应用之间增加一次安全验证,为实现该技术效果,本实施例的访问控制方法还包括:
接收电子设备发送的选择第二应用的第二应用选择消息;
向电子设备发送携带用于第一应用和第二应用进行安全认证的安全认证要求的第二应用选择响应消息,使得电子设备能够发送安全认证要求到第一应用。
下面将结合电子设备与安全芯片来对本发明实施例的访问控制方法进行详细描述。
参考图3,该图3所示的是本发明访问控制方法的逻辑构架图。其中,本发明的电子设备中设置有多个设备应用31和逻辑通道管理器32,而在安全芯片33中设置有多个芯片应用34。
其中,设备应用31即本发明的第一应用,通过上文可以知道,该设备应用31可以是电子设备安装的第三方应用程序;逻辑通道管理器32执行本发明提供的应用于电子设备侧的访问控制方法;安全芯片33则执行本发明提供的应用于安全芯片侧的访问控制方法;芯片应用34即本发明的第二应用,作为示例性介绍,本文的芯片应用34即SIM卡或USIM卡所提供的基于用户个人信息的相关应用。
进一步参考图4,本发明的访问控制方法的流程包括:
步骤S1,电子设备上的其中一个设备应用31向逻辑通道管理器发起请求访问其中一个芯片应用32的访问请求;
步骤S2,逻辑通道管理器验证设备应用31的合法性,确定该设备应用31是否有权限访安全芯片,如果设备应用31验证失败,则流程结束;如果验证成功,则确定设备应用31可以访问安全芯片,进入步骤S3;
步骤S3,逻辑通道管理器向安全芯片发送开启用于设备应用31与芯片应用32交互的逻辑通道的请求;
步骤S4,安全芯片为设备应用31与芯片应用32分配逻辑通道;
步骤S5,安全芯片在逻辑通道开启后,向逻辑通道管理器反馈开启的逻辑通道;
步骤S6,逻辑通道管理器通过安全芯片向芯片应用32发送芯片应用选择消息;
步骤S7,芯片应用32根据芯片应用选择消息,确定一逻辑通道开启的预设时间门限和安全认证要求,并通过响应消息携带预设时间门限和安全认证要求(如果有),返回逻辑通道管理器;
步骤S8,逻辑通道管理器本地缓存芯片应用32反馈的预设时间门限,用于对逻辑通道进行计时;
步骤S9,如果响应消息中携带安全认证要求,则逻辑通道管理器进一步向设备应用31反馈安全认证要求;
步骤S10,设备应用31在授权访问安全芯片后,通过该安全芯片建立的逻辑通道与芯片应用32进行安全认证;
步骤S11,在认证成功后,设备应用31与芯片应用32通过逻辑通道进行命令交互,实现相关功能;
步骤S12,逻辑通道管理器在获取预设时间门限后,对逻辑通道的通信情况进行监测,当逻辑通道空闲时间超过预设时间门限时,向安全芯片发送关闭该逻辑通道的请求;
步骤S13,安全芯片关闭逻辑通道,释放逻辑通道资源;
步骤S14,安全芯片向逻辑通道管理器反馈关闭逻辑通道请求的响应。
当然,该关闭逻辑通道请求也可以基于设备应用31提出的请求而触发,其属于现有技术的范畴,在此不作详细描述。
此外,本发明还提提供一种访问控制装置,用于电子设备,如图5所示,包括:
获取模块,用于获取安全芯片分配的用于电子设备上的第一应用和安全芯片上的第二应用进行交互的逻辑通道;
第一发送模块,用于在逻辑通道空闲时间超过预定时间门限时,向安全芯片发送逻辑通道关闭请求,使得安全芯片在接收到所述逻辑通道关闭请求后释放所述逻辑通道。
可见,本实施例的访问控制装置能够以主动的方式对逻辑通道空闲的持续时间进行判断,并在空闲时间大于预设门限后,控制安全芯片对其进行关闭,从而释放掉该逻辑通道占用的安全芯片的处理资源,避免安全芯片因资源耗尽而被迫重启的现象发生;此外,及时对逻辑通道进行关闭还可以防止恶意程序通过逻辑通道窃取用户重要的信息,在安全性上也具有一定有益效果。
具体地,本实施例获取模块进一步包括:
第一接收单元,用于接收所述第一应用发送的请求访问所述第二应用的访问请求;
发送单元,用于向所述安全芯片发送逻辑通道分配请求,使得所述安全芯片根据所述逻辑通道分配请求分配所述逻辑通道;
第二接收单元,用于接收所述安全芯片返回的携带所述逻辑通道的逻辑通道分配响应消息。
具体地,本实施例的访问控制装置还包括:
判断模块,用于判断所述第一应用是否被授权访问所述安全芯片;
其中,在所述第一应用被授权访问所述安全芯片时,所述发送单元向所述安全芯片发送逻辑通道分配请求。
具体地,本实施例的访问控制装置还包括:
第二发送模块,用于向所述第二应用发送第一应用选择消息;
第一接收模块,用于接收所述第二应用返回的携带所述预定时间门限的第一应用选择响应消息。
具体地,本实施例的访问控制装置还包括:
第三发送模块,用于向所述第二应用发送第二应用选择消息;
第二接收模块,用于接收所述第二应用返回的携带安全认证要求的第二应用选择响应消息;
第四发送模块,用于发送所述安全认证要求到所述第一应用,使得所述第一应用根据所述安全认证要求与所述第二应用交互进行安全认证。
显然,本实施例的访问控制装置是本发明提供的应用于电子设备侧的访问控制方法的执行主体,因此该访问控制装置以及电子设备侧的访问控制方法均能实现相同的技术效果。
此外,本发明还提供一种访问控制装置,用于安全芯片,如图6所示,包括:
分配模块,用于分配用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
第五发送模块,用于发送第二应用对应的预定时间门限到所述电子设备;
第三接收模块,用于接收电子设备在所述逻辑通道空闲时间超过所述预定时间门限时发送的逻辑通道关闭请求;
释放模块,用于释放所述逻辑通道。
显然,本实施例的访问控制装置能够主动关闭长时间处于空闲状态的逻辑通道,从而释放掉该逻辑通道占用安全芯片的处理资源,避免安全芯片因资源耗尽而被迫重启;此外,及时对逻辑通道进行关闭还可以防止恶意程序通过逻辑通道窃取用户重要的信息,在安全性上也具有一定有益效果。
具体地,本实施例的访问控制装置还包括:
第四接收模块,用于接收所述电子设备发送的请求选择所述第二应用的第一应用选择消息;
第六发送模块,用于向所述电子设备发送携带所述预定时间门限的第一应用选择响应消息。
具体地,本实施例的访问控制装置还包括:
第五接收模块,接收所述电子设备发送的选择所述第二应用的第二应用选择消息;
第七发送模块,向所述电子设备发送携带用于第一应用和第二应用进行安全认证的安全认证要求的第二应用选择响应消息,使得所述电子设备能够发送所述安全认证要求到所述第一应用。
显然,本实施例的访问控制装置即本发明提供的应用于安全芯片侧的访问控制方法的执行主体,因此该安全芯片以及对应访问控制方法均能实现相同的技术效果。
此外,本发明还提供一种电子设备及安全芯片,包括有对应的访问控制装置。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种访问控制方法,用于一电子设备,其特征在于,包括:
获取安全芯片分配的用于所述电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
在所述逻辑通道空闲时间超过预定时间门限时,向所述安全芯片发送逻辑通道关闭请求,使得所述安全芯片在接收到所述逻辑通道关闭请求后释放所述逻辑通道。
2.根据权利要求1所述的访问控制方法,其特征在于,所述获取安全芯片分配的用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道具体包括:
接收所述第一应用发送的请求访问所述第二应用的访问请求;
向所述安全芯片发送逻辑通道分配请求,使得所述安全芯片根据所述逻辑通道分配请求分配所述逻辑通道;
接收所述安全芯片返回的携带所述逻辑通道的逻辑通道分配响应消息。
3.根据权利要求2所述的访问控制方法,其特征在于,还包括:
判断所述第一应用是否被授权访问所述安全芯片;
在所述第一应用被授权访问所述安全芯片时,进入所述向所述安全芯片发送逻辑通道分配请求的步骤。
4.根据权利要求1所述的访问控制方法,其特征在于,还包括:
向所述第二应用发送第一应用选择消息;
接收所述第二应用返回的携带所述预定时间门限的第一应用选择响应消息。
5.根据权利要求1所述的访问控制方法,其特征在于,还包括:
向所述第二应用发送第二应用选择消息;
接收所述第二应用返回的携带安全认证要求的第二应用选择响应消息;
发送所述安全认证要求到所述第一应用,使得所述第一应用根据所述安全认证要求与所述第二应用交互进行安全认证。
6.一种访问控制方法,用于一安全芯片,其特征在于,包括:
分配用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
发送第二应用对应的预定时间门限到所述电子设备;
接收电子设备在所述逻辑通道空闲时间超过所述预定时间门限时发送的逻辑通道关闭请求;
释放所述逻辑通道。
7.根据权利要求6所述的访问控制方法,其特征在于,还包括:
接收所述电子设备发送的请求选择所述第二应用的第一应用选择消息;
向所述电子设备发送携带所述预定时间门限的第一应用选择响应消息。
8.根据权利要求6所述的访问控制方法,其特征在于,还包括:
接收所述电子设备发送的选择所述第二应用的第二应用选择消息;
向所述电子设备发送携带用于第一应用和第二应用进行安全认证的安全认证要求的第二应用选择响应消息,使得所述电子设备能够发送所述安全认证要求到所述第一应用。
9.一种访问控制装置,用于一电子设备,其特征在于,包括:
获取模块,用于获取安全芯片分配的用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
第一发送模块,用于在所述逻辑通道空闲时间超过预定时间门限时,向所述安全芯片发送逻辑通道关闭请求,使得所述安全芯片在接收到所述逻辑通道关闭请求后释放所述逻辑通道。
10.根据权利要求9所述的访问控制装置,其特征在于,所述获取模块包括:
第一接收单元,用于接收所述第一应用发送的请求访问所述第二应用的访问请求;
发送单元,用于向所述安全芯片发送逻辑通道分配请求,使得所述安全芯片根据所述逻辑通道分配请求分配所述逻辑通道;
第二接收单元,用于接收所述安全芯片返回的携带所述逻辑通道的逻辑通道分配响应消息。
11.根据权利要求10所述的访问控制装置,其特征在于,还包括:
判断模块,用于判断所述第一应用是否被授权访问所述安全芯片;
其中,在所述第一应用被授权访问所述安全芯片时,所述发送单元向所述安全芯片发送逻辑通道分配请求。
12.根据权利要求9所述的访问控制装置,其特征在于,还包括:
第二发送模块,用于向所述第二应用发送第一应用选择消息;
第一接收模块,用于接收所述第二应用返回的携带所述预定时间门限的第一应用选择响应消息。
13.根据权利要求9所述的访问控制装置,其特征在于,还包括:
第三发送模块,用于向所述第二应用发送第二应用选择消息;
第二接收模块,用于接收所述第二应用返回的携带安全认证要求的第二应用选择响应消息;
第四发送模块,用于发送所述安全认证要求到所述第一应用,使得所述第一应用根据所述安全认证要求与所述第二应用交互进行安全认证。
14.一种访问控制装置,用于一安全芯片,其特征在于,所述访问控制装置包括:
分配模块,用于分配用于电子设备上的第一应用和所述安全芯片上的第二应用进行交互的逻辑通道;
第五发送模块,用于发送第二应用对应的预定时间门限到所述电子设备;
第三接收模块,用于接收电子设备在所述逻辑通道空闲时间超过所述预定时间门限时发送的逻辑通道关闭请求;
释放模块,用于释放所述逻辑通道。
15.根据权利要求14所述的访问控制装置,其特征在于,还包括:
第四接收模块,用于接收所述电子设备发送的请求选择所述第二应用的第一应用选择消息;
第六发送模块,用于向所述电子设备发送携带所述预定时间门限的第一应用选择响应消息。
16.根据权利要求14所述的访问控制装置,其特征在于,还包括:
第五接收模块,接收所述电子设备发送的选择所述第二应用的第二应用选择消息;
第七发送模块,向所述电子设备发送携带用于第一应用和第二应用进行安全认证的安全认证要求的第二应用选择响应消息,使得所述电子设备能够发送所述安全认证要求到所述第一应用。
17.一种电子设备,其特征在于,包括如权利要求9-13任一项所述的访问控制装置。
18.一种安全芯片,其特征在于,包括如权利要求14-16任一项所述的访问控制装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610686608.3A CN107766751A (zh) | 2016-08-18 | 2016-08-18 | 一种访问控制方法、装置、电子设备及安全芯片 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610686608.3A CN107766751A (zh) | 2016-08-18 | 2016-08-18 | 一种访问控制方法、装置、电子设备及安全芯片 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107766751A true CN107766751A (zh) | 2018-03-06 |
Family
ID=61262705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610686608.3A Pending CN107766751A (zh) | 2016-08-18 | 2016-08-18 | 一种访问控制方法、装置、电子设备及安全芯片 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107766751A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116361865A (zh) * | 2023-02-22 | 2023-06-30 | 荣耀终端有限公司 | 一种访问方法和电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1979514A (zh) * | 2005-12-06 | 2007-06-13 | 三星电子株式会社 | 在不具有内部电源的装置中实现安全时钟的方法和设备 |
| CN101820613A (zh) * | 2009-02-27 | 2010-09-01 | 中兴通讯股份有限公司 | 一种应用下载的系统和方法 |
| CN103984892A (zh) * | 2014-05-19 | 2014-08-13 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN104166812A (zh) * | 2014-06-25 | 2014-11-26 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| CN104471600A (zh) * | 2014-04-01 | 2015-03-25 | 华为终端有限公司 | 一种安全单元的管理方法及终端 |
| CN105320873A (zh) * | 2014-07-02 | 2016-02-10 | 中国移动通信集团公司 | 一种终端应用的解锁方法、装置、终端及sim卡 |
-
2016
- 2016-08-18 CN CN201610686608.3A patent/CN107766751A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1979514A (zh) * | 2005-12-06 | 2007-06-13 | 三星电子株式会社 | 在不具有内部电源的装置中实现安全时钟的方法和设备 |
| CN101820613A (zh) * | 2009-02-27 | 2010-09-01 | 中兴通讯股份有限公司 | 一种应用下载的系统和方法 |
| CN104471600A (zh) * | 2014-04-01 | 2015-03-25 | 华为终端有限公司 | 一种安全单元的管理方法及终端 |
| CN103984892A (zh) * | 2014-05-19 | 2014-08-13 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
| CN104166812A (zh) * | 2014-06-25 | 2014-11-26 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| CN105320873A (zh) * | 2014-07-02 | 2016-02-10 | 中国移动通信集团公司 | 一种终端应用的解锁方法、装置、终端及sim卡 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116361865A (zh) * | 2023-02-22 | 2023-06-30 | 荣耀终端有限公司 | 一种访问方法和电子设备 |
| CN116361865B (zh) * | 2023-02-22 | 2024-04-02 | 荣耀终端有限公司 | 一种访问方法和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10121288B2 (en) | Transit account management with mobile device messaging | |
| CN107645482A (zh) | 一种针对业务操作的风险控制方法及装置 | |
| CN104769622A (zh) | 使用生物特征数据对移动设备电子商务交易进行认证的方法 | |
| US9489669B2 (en) | Secure contactless payment systems and methods | |
| CN108090974A (zh) | 闸机控制方法及系统 | |
| WO2014207615A1 (en) | Financial account with group authorization | |
| WO2011006140A2 (en) | Predictive techniques in transit alerting | |
| AU2010271245A1 (en) | Reloadable prepaid card distribution, reload, and registration in transit | |
| CN104361491A (zh) | 一种移动支付方法及系统 | |
| CN105868975B (zh) | 电子金融账户的管理方法、管理系统和移动终端 | |
| CN110223128A (zh) | 一种数据处理的方法及相关装置 | |
| CN105956839A (zh) | 应用于智能家居平台的支付方法和装置 | |
| US10217101B2 (en) | Link of mobile devices to facilitate mobile commerce transactions | |
| CN107766751A (zh) | 一种访问控制方法、装置、电子设备及安全芯片 | |
| US9749303B2 (en) | Method for personalizing a secure element, method for enabling a service, secure element and computer program product | |
| KR100590587B1 (ko) | 복수의 보안영역을 가진 스마트카드의 보안영역 삭제 방법 | |
| CN102546561B (zh) | 终端设备、服务器、信息处理系统及其信息处理方法 | |
| CN112150140B (zh) | 资源配置方法、装置及系统 | |
| CN108600229A (zh) | 一种射频通信共享方法及系统 | |
| US20180096345A1 (en) | Provisioning of secure application | |
| US20210326858A1 (en) | Post-provisioning authentication protocols | |
| CN103685146A (zh) | 用于安全性信息交互的数据处理装置及方法 | |
| CN106600406A (zh) | 一种交易方法及其终端 | |
| CN105103180B (zh) | 用于处理移动信用卡的发行的方法 | |
| CN103902391B (zh) | 应用程序管理装置和应用程序管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |
|
| RJ01 | Rejection of invention patent application after publication |