CN110519753B - 访问方法、装置、终端和可读存储介质 - Google Patents
访问方法、装置、终端和可读存储介质 Download PDFInfo
- Publication number
- CN110519753B CN110519753B CN201910614233.3A CN201910614233A CN110519753B CN 110519753 B CN110519753 B CN 110519753B CN 201910614233 A CN201910614233 A CN 201910614233A CN 110519753 B CN110519753 B CN 110519753B
- Authority
- CN
- China
- Prior art keywords
- access
- application
- ara
- access rule
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004590 computer program Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 2
- 238000012795 verification Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000009434 installation Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 208000019585 progressive encephalomyelitis with rigidity and myoclonus Diseases 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004080 punching Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 102220040217 rs143730975 Human genes 0.000 description 1
- 102220027134 rs63750555 Human genes 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及通信技术领域,公开了一种访问方法、装置、终端和可读存储介质。本发明中,上述访问方法,包括:获取存储在通用集成电路卡UICC内的访问规则管理ARA‑M应用中的访问规则;其中,所述访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限;获取目标APP需访问的目标卡应用的应用标识和所述目标APP被授权的签名证书;根据所述访问规则对所述签名证书和所述应用标识进行验证,确定所述目标APP是否具有访问所述目标卡应用的权限;若所述目标APP具有访问所述目标卡应用的权限,则允许所述目标APP对所述目标卡应用进行访问,使得可以提高终端APP访问UICC时的可操作性,保障UICC内数据的安全性。
Description
技术领域
本发明实施例涉及通信技术领域,特别涉及一种访问方法、装置、终端和可读存储介质。
背景技术
随着Android手机的迅速普及,拥有NFC功能的安卓手机在手机支付、公交地铁、门禁打卡、身份识别、数据传输等领域的应用越来越广泛,但随之而来的个人隐私泄露、手机木马病毒、垃圾短信等安全威胁也大大影响了其用户体验和信心。对移动互联网安全相关的保密性、完整性、可用性、不可抵赖性等安全需求也逐渐增多。移动终端使用的场合通常容易被攻击,这将使用户数据丢失、被未授权用户刺探及获取隐私信息成为可能。相关技术方案针对NFC手机硬件的虚拟卡模式进行研究,实现了以安全模块SE(Security Element)SIM卡来存储应用,密钥及敏感数据,以及数字证书,来提供签名功能。方案的关键点在于终端APP获取SIM卡访问权限问题,解决方式是通过访问规则文件的机制,访问规则文件中存储对应的APP访问SIM卡的访问规则数据。
然而,发明人发现相关技术中至少存在如下问题:采用访问规则文件存储访问规则的方式直接导致其安全性和可操作性较差。
发明内容
本发明实施方式的目的在于提供一种访问方法、装置、终端和可读存储介质,使得可以提高终端APP访问UICC时的可操作性,保障UICC内数据的安全性。
为解决上述技术问题,本发明的实施方式提供了一种访问方法,包括:获取存储在通用集成电路卡UICC内的访问规则管理ARA-M应用中的访问规则;其中,所述访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限;获取目标APP需访问的目标卡应用的应用标识和所述目标APP被授权的签名证书;根据所述访问规则对所述签名证书和所述应用标识进行验证,确定所述目标APP是否具有访问所述目标卡应用的权限;若所述目标APP具有访问所述目标卡应用的权限,则允许所述目标APP对所述目标卡应用进行访问。
本发明的实施方式还提供了一种访问装置,包括:第一获取模块,用于获取存储在通用集成电路UICC内的访问规则管理ARA-M应用中的访问规则;其中,所述访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限;第二获取模块,用于获取目标APP需访问的目标卡应用的应用标识和所述目标APP被授权的签名证书;确定模块,用于根据所述访问规则对所述签名证书和所述应用标识进行验证,确定所述目标APP是否具有访问所述目标卡应用的权限;访问模块,用于若所述目标APP具有访问所述目标卡应用的权限,则允许所述目标APP对所述目标卡应用进行访问。
本发明的实施方式还提供了一种终端,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述的访问方法。
本发明实施方式相对于现有技术而言,获取存储在通用集成电路卡UICC内的访问规则管理ARA-M应用中的访问规则;其中,访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限,获取目标APP需访问的目标卡应用的应用标识和目标APP被授权的签名证书;根据访问规则对签名证书和应用标识进行验证,确定目标APP是否具有访问目标卡应用的权限;若目标APP具有访问目标卡应用的权限,则允许目标APP对目标卡应用进行访问。通过将访问规则存储在UICC卡内的ARA-M应用中,由于UICC卡的应用程序即ARA-M应用具有一系列安全机制、文件数据及协议交互机制等元素,从技术角度来看,将访问规则存在ARA-M应用中具有更多的操作手段和安全方案,可以提高终端APP访问UICC卡时的可操作性,还能保障UICC卡内数据的安全性。
另外,在获取存储在通用集成电路卡UICC内的访问规则管理ARA-M应用中的访问规则之后,还包括:如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。由于,现有的相关技术中访问规则存储在UICC内的卡文件中,运营商对UICC卡安全管控非常严格,已发行的UICC卡不允许创建文件,难以实现更新。而本发明实施方式将访问规则存储在UICC内的ARA-M应用中,增加了对于存储在ARA-M应用中的访问规则的可操作性,方便了对于访问规则的更新。
另外,所述更新的访问规则由所述移动签名平台以数据短信的形式发送至所述ARA-M应用中;所述如果接收到移动签名平台更新后的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:如果所述ARA-M应用接收到所述移动签名平台发送的更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。提供了一种对存储在ARA-M应用中的访问规则进行更新的具体实现方式,有利于实现对ARA-M应用中的访问规则的更新。
另外,所述更新的访问规则由所述移动签名平台发送至所述终端内具有访问权限的APP;所述如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:如果所述ARA-M应用接收到所述具有访问权限的APP通过所述终端的原生系统应用程序接口发送的所述更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。提供了另一种对存储在ARA-M应用中的访问规则进行更新的具体实现方式,使得本发明实施方式的实现方式灵活多样。
另外,所述移动签名平台更新的访问规则为加密后的访问规则;所述如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:如果接收到移动签名平台更新的加密后的访问规则,则对所述加密后的访问规则进行解密;将存储在所述ARA-M应用中的访问规则更新为所述解密后的访问规则。对更新的访问规则的加密操作,有利于提高安全性。
另外,所述获取存储在通用集成电路卡UICC内的ARA-M应用中的访问规则,具体为:通过所述终端的原生系统应用程序接口,获取存储在UICC内的ARA-M应用中的访问规则;所述允许所述目标APP对所述目标卡应用进行访问,具体为:允许所述目标APP通过所述原生系统应用程序接口对所述目标卡应用进行访问。本发明实施方式中通过原生系统API建立终端APP与卡应用之间的访问通道,打破了相关技术中对NFC终端才满足和UICC卡建立访问通道的基本要求,本发明实施方式不仅支持NFC终端也支持非NFC终端的普通终端,更具普适性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施方式中的访问方法的流程图;
图2是根据本发明第一实施方式中的系统架构图;
图3是根据本发明第二实施方式中的访问方法中的以OTA数据短信的方式更新访问规则的流程图;
图4是根据本发明第二实施方式中的访问方法中的以机卡接口的方式更新访问规则的流程图;
图5是根据本发明第三实施方式中的访问装置的一种示意图;
图6是根据本发明第三实施方式中的访问装置的另一种示意图;
图7是根据本发明第四实施方式中的终端的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本发明的第一实施方式涉及一种访问方法,实现终端中的应用程序(Application,简称APP)对通用集成电路卡(Universal Integrated Circuit Card,简称UICC)内部的卡应用的访问。其中,终端可以为手机,UICC可以为2G网络时代下的SIM卡(Subscriber Identity Module,简称SIM)、3G网络时代USIM卡(Universal SubscriberIdentity Module,简称USIM)、4G网络时代(IP Multi Media Service Identity Module,简称ISIM)等。UICC内部的卡应用是由一系列安全机制、文件数据和协议等元素结合而成的对象,UICC内部可以具有不同的卡应用,不同的卡应用具有不同的应用标识AID。下面对本实施方式的访问方法的实现细节进行具体的说明,以下内容仅为方便理解提供的实现细节,并非实施本方案的必须。
本实施方式中的访问方法的流程图可以如图1所示,具体包括:
步骤101:获取存储在UICC内的ARA-M应用中的访问规则。
其中,UICC内的访问规则管理(Access Rules Application-Management,简称ARA-M)应用,存储了访问规则,访问规则包括终端中的APP对UICC中的卡应用的访问权限。访问规则为UICC规则中可以更改的一部分,UICC规则存储在ARA-M应用中。
在一个例子中,UICC规则的数据层次结构可以为:每个规则由REF-AR-DO(E2)组成,REF-AR-DO包含REF-DO与AR-DO两部分:REF-DO(E1)包含DeviceAppID-REF-DO,或DeviceAppID-REF-DO与PKG-REF-DO的组合。DeviceAppID-REF-DO指明该规则适用的卡应用。DeviceAppID-REF-DO(C1)存储SHA-1(20字节,哈希值)或SHA-256(32字节)证书签名。REF-DO:AID-REF-DO与Hash-REF-DO的组合参数,用于通过终端App哈希值指明该规则适用的终端APP。PKG-REF-DO(CA)是终端APP的安装包包名的ASCII编码字符串,最大长度127字节。AR-DO(E3)已扩展为包含PERM-AR-DO(DB)。PERM-AR-DO(DB)为8字节的位掩码,表示64个独立的权限,AR-DO用来表明终端App对于卡应用Applet的访问权限。如果PKG-REF-DO不存在,则由相关证书签名的任何终端APP均可获得访问权限,否则,签名证书和终端APP的安装包包名需相匹配。
在一个例子中,终端APP的名称可以为com.android.apps.simkey。该终端APP安装包包名的ASCII编码的十六进制字符串形式为:
636F6D2E616E64726F69642E617070732E73696D6B6579。
该终端APP的签名证书的哈希(Hash)值的十六进制字符串形式为:
7F:F6:5C:35:3B:C3:5A:AB:BA:87:92:A1:9C:9E:88:AA:3C:63:FB:B6
UICC规则的十六进制字符串形式为:
E23D<=3D is value length in hex
E12F
C114 7FF65C353BC35AABBA8792A19C9E88AA3C63FBB6
CA17 636F6D2E616E64726F69642E617070732E73696D6B6579
E30A
DB08 0000000000000001。
在一个例子中,终端中的APP对UICC中的卡应用的访问权限可以由运营商预先制定,开发人员在开发APP时,针对该APP申请签名证书,该签名证书中包括一对公私密钥对,在发布该APP时利用申请的签名证书中的私钥keystore对该APP的安装包进行签名。访问规则可以理解为包括:终端APP的签名证书、该签名证书的哈希值以及使用该签名证书中的keystore签名的终端APP可以访问的卡应用的应用标识AID。
在一个例子中,对UICC的安全访问可以采用Global Platform可信任框架的全球平台访问控制(Global Platform Access Control,简称GPAC)机制,可以参考图2中的系统架构图。Android 5.1以上的系统平台会检测UICC上构建的UICC对象,UICC对象可以理解为终端中插入的SIM卡、USIM卡或ISIM卡等,UICC对象将运营商写入的访问规则作为UICC规则的一部分包含在内。终端中的原生系统应用程序接口(Application Program Interface,简称API)的访问控制模块会加载ARA-M应用中存储的UICC规则,并在UICC上对规则进行解析,最后将其缓存到系统内存中。如果UICC被移除,缓存在内存的UICC规则会连同UICC对象一起被销毁。其中,原生系统API可以理解为谷歌提供的谷歌5.1以上的系统对上层应用提供的一个新的功能。在具体实现中,谷歌5.1以上的系统可以实现原生系统API与OpenMobile API的兼容,比如说,对于系统升级至谷歌5.1以上的终端中可以既具有原生系统API也具有Open Mobile API,对于非NFC终端,即不具有NFC功能的终端,可以通过原生系统API与UICC进行交互,对于NFC终端,即具有NFC功能的终端,可以通过Open Mobile API或原生系统API与UICC进行交互。
图2中,终端APP到原生系统API的箭头表示终端APP调用原生系统API。原生系统API到卡应用Applet的箭头表示终端APP访问卡应用Applet。ARA-M与访问控制文件(AccessRules File,简称ARF)之间的箭头表示ARA-M对ARF的访问。访问控制模块与ARA-M之间的箭头表示访问控制模块对ARA-M中的数据的访问,本实施方式中即为对ARA-M中存储的访问规则的访问。访问控制模块与ARF之间的箭头表示访问控制模块对ARF中的数据的访问,在具体实现中,只有ARA-M不存在时,访问控制模块才会访问ARF。空中下载技术(Over-the-AirTechnology,简称OTA)通道是通过移动通信的空中接口对SIM卡数据及应用进行远程管理的通道。需要说明的是,图2中,终端以安卓手机为例,UICC以SIM卡为例,但在实际应用中并不以此为限。
步骤102:获取目标APP需访问的目标卡应用的应用标识和目标APP被授权的签名证书。
在一个例子中,终端APP通过原生系统API试图访问UICC内的目标卡应用Applet时,会提供访问的目标卡应用Applet的应用标识AID和终端APP被授权的签名证书,通常是指终端APP被运营商授权的签名证书,然后根据该签名证书可以计算出一个第一哈希值。
步骤103:根据访问规则对签名证书和应用标识进行验证,确定目标APP是否具有访问目标卡应用的权限,如果是则执行步骤104,否则该流程结束。
具体的说,系统的访问控制模块会将发起请求的终端APP的签名证书和终端APP试图访问的目标Applet的应用标识AID与缓存在内存中的规则进行逐一比对验证。验证通过后,才允许其访问目标Applet;验证失败,则向终端返回错误。
在一个例子中,由于访问规则中配置有终端APP的签名证书、该签名证书的哈希值以及使用该签名证书中的keystore签名的终端APP可以访问的卡应用的应用标识AID。因此,可以根据获取的目标APP的签名证书的第一哈希值和目标Applet的AID与访问规则进行逐一对比验证,比如说第一哈希值和访问规则中签名证书的哈希值相同,可以认为验证通过,否则验证失败。在具体实现中,可以认为如果验证后发现目标APP的安装包采用了开发该目标APP时申请的签名证书中的keystore签名,则目标APP可以访问相应的Applet,认为验证成功,否则验证失败。
步骤104:允许目标APP对目标卡应用进行访问。
也就是说,目标APP具有访问目标卡应用的权限,可以对目标卡应用进行访问。比如说,可以参考图2,目标APP可以通过原生系统API对目标卡应用进行访问。
需要说明的是,本实施方式中的上述各示例均为为方便理解进行的举例说明,并不对本发明的技术方案构成限定。
与现有技术相比,本实施方式通过将访问规则存储在UICC卡内的ARA-M应用中,由于UICC卡的应用程序即ARA-M应用具有一系列安全机制、文件数据及协议交互机制等元素,从技术角度来看,将访问规则存在ARA-M应用中具有更多的操作手段和安全方案,可以提高终端APP访问UICC卡时的可操作性,还能保障UICC卡内数据的安全性。
本发明的第二实施方式涉及一种访问方法。本实施方式中主要涉及对于访问规则的更新,本实施方式中,在获取存储在UICC内的访问规则管理ARA-M应用中的访问规则之后,如果接收到移动签名平台更新的访问规则,则对存储在ARA-M应用中的访问规则进行更新。下面对本实施方式的访问方法中关于访问规则的更新的实现细节进行具体的说明,以下内容仅为方便理解提供的实现细节,并非实施本方案的必须。
具体的说,更新的访问规则由移动签名平台以数据短信的形式发送至ARA-M应用中,如果ARA-M应用接收到移动签名平台发送的更新的访问规则,则对存储在ARA-M应用中的访问规则进行更新。比如说,授权的终端APP需要扩展,则可以对存储在ARA-M应用中的访问规则进行更新,或者需要对已授权的可以访问UICC的终端的访问权限进行修改,也可以对存储在ARA-M应用中的访问规则进行更新。
在一个例子中,移动签名平台对访问规则进行更新后,可以对更新的访问规则进行加密如果接收到移动签名平台更新的加密后的访问规则,则对加密后的访问规则进行解密,将存储在ARA-M应用中的访问规则更新为解密后的访问规则。
在一个例子中,可以通过空中下载技术(Over-the-Air Technology,简称OTA)数据短信的方式更新访问规则。本示例中,UICC以SIM卡为例,更新的SIM卡的访问规则可以由移动签名平台通过加密数据短信发送给SIM卡,如图3所示,包括:
步骤301:移动签名平台更新访问规则,并对更新的访问规则进行加密。
步骤302:移动签名平台以SIM卡数据短信形式,将加密后的访问规则携带在更新请求中发送至SIM卡中的ARA-M应用。
其中,更新请求可以通过终端基带直达SIM卡中的ARA-M应用。
步骤303:ARA-M应用接收到更新请求后,解析出更新请求携带的加密后的访问规则,并进行校验。其中,校验可以通过消息认证码(Message Authentication Code,简称MAC)校验,如果检验成功可以保证接收到的消息数据的完整性。
步骤304:判断是否校验成功。如果校验失败,则执行步骤305,否则执行步骤306。
步骤305:ARA-M应用上行更新失败响应。
步骤306:ARA-M应用对加密后的访问规则进行解密。
步骤307:ARA-M应用使用解密后的访问规则更新存储在ARA-M应用中的访问规则。
步骤308:ARA-M应用向移动签名平台上行更新成功响应。
在另一个例子中,可以通过机卡接口更新方式对存储在ARA-M应用中的访问规则进行更新,机卡接口可以为原生系统API。更新的访问规则可以由移动签名平台发送至终端内具有访问权限的APP,如果ARA-M应用接收到具有访问权限的APP通过终端的原生系统API发送的更新的访问规则,则对存储在ARA-M应用中的访问规则进行更新。为方便说明,下文中,将终端内具有访问权限的APP称为SIMKey客户端。也就是说,SIMKey客户端可以从移动签名平台获取更新的访问规则,并通过原生系统API,将更新的访问规则发送给ARA-M应用进行更新,具体流程可以如图4所示,包括:
步骤401:移动签名平台更新访问规则,并对更新的访问规则进行加密。
步骤402:移动签名平台将加密后的访问规则发送至SIMKey客户端。
其中,当终端重启或插卡后SIMKey客户端可以从移动签名平台获取最新的访问规则。
步骤403:SIMKey客户端通过原生系统API向ARA-M应用发送携带加密的访问规则的更新请求。
其中,如果终端为NFC终端,SIMKey客户端还可以通过Open Mobile API向ARA-M应用发送携带加密的访问规则的更新请求。
步骤404:ARA-M应用接收到更新请求后,解析出更新请求携带的加密后的访问规则,并进行校验。其中,校验可以通过消息认证码(Message Authentication Code,简称MAC)校验,如果检验成功可以保证接收到的消息数据的完整性。
步骤405:判断是否检验成功。若检验成功则执行步骤407,否则执行步骤406。
步骤406:ARA-M应用向SIMKey客户端上行更新失败响应。
步骤407:ARA-M应用对加密后的访问规则进行解密。
步骤408:ARA-M应用使用解密后的访问规则更新存储在ARA-M应用中的访问规则。
步骤409:ARA-M应用向SIMKey客户端上行规则更新成功响应。
需要说明的是,由于访问规则是UICC规则的一部分,因此上述对于访问规则的更新也可以是对UICC规则的更新。
另外,本实施方式中的上述各示例均为为方便理解进行的举例说明,并不对本发明的技术方案构成限定。
与现有技术相比,本实施方式中提供了对存储在ARA-M应用中的访问规则进行更新的实现方式,增加了对于存储在ARA-M应用中的访问规则的可操作性,方便了对于访问规则的更新,有利于满足实际需求的变化。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第三实施方式涉及一种访问装置,如图5所示,包括:第一获取模块501,用于获取存储在通用集成电路UICC内的访问规则管理ARA-M应用中的访问规则;其中,所述访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限;第二获取模块502,用于获取目标APP需访问的目标卡应用的应用标识和所述目标APP被授权的签名证书;确定模块,用于根据所述访问规则对所述签名证书和所述应用标识进行验证,确定所述目标APP是否具有访问所述目标卡应用的权限;访问模块503,用于若所述目标APP具有访问所述目标卡应用的权限,则允许所述目标APP对所述目标卡应用进行访问。
在一个例子中,访问装置可以如图6所示,包括:更新模块601,用于如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。
在一个例子中,所述更新的访问规则由所述移动签名平台以数据短信的形式发送至所述ARA-M应用中;更新模块601,具体用于如果所述ARA-M应用接收到所述移动签名平台发送的更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。
在一个例子中,所述更新的访问规则由所述移动签名平台发送至所述终端内具有访问权限的APP;更新模块601,具体用于如果所述ARA-M应用接收到所述具有访问权限的APP通过所述终端的原生系统应用程序接口发送的所述更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。
在一个例子中,所述移动签名平台更新的访问规则为加密后的访问规则;更新模块601,具体用于如果接收到移动签名平台更新的加密后的访问规则,则对所述加密后的访问规则进行解密;将存储在所述ARA-M应用中的访问规则更新为所述解密后的访问规则。
在一个例子中,第一获取模块501,具体用于:通过所述终端的原生系统应用程序接口,获取存储在UICC内的ARA-M应用中的访问规则;访问模块503,具体用于:允许所述目标APP通过所述原生系统应用程序接口对所述目标卡应用进行访问。
不难发现,本实施方式为与第一、二实施方式相对应的装置实施例,本实施方式可与第一、二实施方式互相配合实施。第一、二实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一、二实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第四实施方式涉及一种终端,如图7所示,包括至少一个处理器701;以及,与至少一个处理器701通信连接的存储器702;其中,存储器702存储有可被至少一个处理器701执行的指令,指令被至少一个处理器701执行,以使至少一个处理器701能够执行第一、或第二实施方式中的访问方法。
其中,存储器702和处理器701采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器701和存储器702的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器701处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器701。
处理器701负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器702可以被用于存储处理器701在执行操作时所使用的数据。
本发明第五实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (7)
1.一种访问方法,其特征在于,包括:
获取存储在通用集成电路卡UICC内的访问规则管理ARA-M应用中的访问规则;其中,所述访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限;
获取目标APP需访问的目标卡应用的应用标识和所述目标APP被授权的签名证书;
根据所述访问规则对所述签名证书和所述应用标识进行验证,确定所述目标APP是否具有访问所述目标卡应用的权限;
若所述目标APP具有访问所述目标卡应用的权限,则允许所述目标APP对所述目标卡应用进行访问;
其中,在所述获取存储在通用集成电路卡UICC内的访问规则管理ARA-M应用中的访问规则之后,还包括:
如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新;
所述更新的访问规则由所述移动签名平台以数据短信的形式发送至所述ARA-M应用中;
所述如果接收到移动签名平台更新后的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:
如果所述ARA-M应用接收到所述移动签名平台发送的更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。
2.根据权利要求1所述的访问方法,其特征在于,所述更新的访问规则由所述移动签名平台发送至所述终端内具有访问权限的APP;
所述如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:
如果所述ARA-M应用接收到所述具有访问权限的APP通过所述终端的原生系统应用程序接口发送的所述更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新。
3.根据权利要求1所述的访问方法,其特征在于,所述移动签名平台更新的访问规则为加密后的访问规则;
所述如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:
如果接收到移动签名平台更新的加密后的访问规则,则对所述加密后的访问规则进行解密;
将存储在所述ARA-M应用中的访问规则更新为所述解密后的访问规则。
4.根据权利要求1所述的访问方法,其特征在于,所述获取存储在通用集成电路卡UICC内的ARA-M应用中的访问规则,具体为:
通过所述终端的原生系统应用程序接口,获取存储在UICC内的ARA-M应用中的访问规则;
所述允许所述目标APP对所述目标卡应用进行访问,具体为:
允许所述目标APP通过所述原生系统应用程序接口对所述目标卡应用进行访问。
5.一种访问装置,其特征在于,包括:
第一获取模块,用于获取存储在通用集成电路UICC内的访问规则管理ARA-M应用中的访问规则;其中,所述访问规则包括终端中的应用程序APP对所述UICC中的卡应用的访问权限;在所述获取存储在通用集成电路卡UICC内的访问规则管理ARA-M应用中的访问规则之后,还包括:如果接收到移动签名平台更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新;所述更新的访问规则由所述移动签名平台以数据短信的形式发送至所述ARA-M应用中;所述如果接收到移动签名平台更新后的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新,包括:如果所述ARA-M应用接收到所述移动签名平台发送的更新的访问规则,则对存储在所述ARA-M应用中的访问规则进行更新;
第二获取模块,用于获取目标APP需访问的目标卡应用的应用标识和所述目标APP被授权的签名证书;
确定模块,用于根据所述访问规则对所述签名证书和所述应用标识进行验证,确定所述目标APP是否具有访问所述目标卡应用的权限;
访问模块,用于若所述目标APP具有访问所述目标卡应用的权限,则允许所述目标APP对所述目标卡应用进行访问。
6.一种终端,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至4中任一所述的访问方法。
7.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614233.3A CN110519753B (zh) | 2019-07-09 | 2019-07-09 | 访问方法、装置、终端和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614233.3A CN110519753B (zh) | 2019-07-09 | 2019-07-09 | 访问方法、装置、终端和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110519753A CN110519753A (zh) | 2019-11-29 |
| CN110519753B true CN110519753B (zh) | 2023-05-02 |
Family
ID=68623543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910614233.3A Active CN110519753B (zh) | 2019-07-09 | 2019-07-09 | 访问方法、装置、终端和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519753B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314474B (zh) * | 2020-02-21 | 2021-02-26 | 北京紫光展锐通信技术有限公司 | 会话创建方法及相关设备 |
| CN111901792B (zh) * | 2020-09-08 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种uicc应用设置信息管理方法、系统及终端 |
| CN112367661B (zh) * | 2020-11-06 | 2022-08-19 | 中国联合网络通信集团有限公司 | Usat应用匹配实现方法、usim、终端、设备及介质 |
| CN112543454B (zh) * | 2020-11-30 | 2022-11-15 | 亚信科技(成都)有限公司 | 一种认证方法及设备 |
| CN113505090B (zh) * | 2021-06-22 | 2023-09-01 | 中国联合网络通信集团有限公司 | 访问控制方法及访问控制装置 |
| CN113536294B (zh) * | 2021-07-13 | 2023-03-24 | 星汉智能科技股份有限公司 | 跟踪卡端与终端指令交互的方法、装置及可读介质 |
| CN113993131B (zh) * | 2021-10-28 | 2023-06-30 | 中国联合网络通信集团有限公司 | 访问控制方法及装置 |
| CN117835248A (zh) * | 2023-10-17 | 2024-04-05 | 湖北星纪魅族集团有限公司 | 安全控制方法、终端及非暂时性计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625309A (zh) * | 2012-01-18 | 2012-08-01 | 中兴通讯股份有限公司 | 访问控制方法及装置 |
| CN108701201A (zh) * | 2018-04-08 | 2018-10-23 | 深圳大学 | 一种移动终端的访问控制方法、装置、终端及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2890171A1 (en) * | 2013-12-26 | 2015-07-01 | Gemalto SA | Method for allowing an access control enforcer to access to rules of a secure element with a single specific command, and associated device |
| CN104268485B (zh) * | 2014-09-29 | 2017-11-17 | 西安酷派软件科技有限公司 | Se中访问控制规则的访问方法和访问装置及终端 |
| FR3067485A1 (fr) * | 2017-06-26 | 2018-12-14 | Orange | Procede de controle d'acces a un module de securite |
-
2019
- 2019-07-09 CN CN201910614233.3A patent/CN110519753B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102625309A (zh) * | 2012-01-18 | 2012-08-01 | 中兴通讯股份有限公司 | 访问控制方法及装置 |
| CN108701201A (zh) * | 2018-04-08 | 2018-10-23 | 深圳大学 | 一种移动终端的访问控制方法、装置、终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110519753A (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519753B (zh) | 访问方法、装置、终端和可读存储介质 | |
| US12086259B2 (en) | Secure over-the-air firmware upgrade | |
| JP6262278B2 (ja) | アクセス制御クライアントの記憶及び演算に関する方法及び装置 | |
| EP3592014B1 (en) | Method and device for adding authentication algorithm program | |
| US11974132B2 (en) | Routing method, apparatus, and system | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| CN112187709B (zh) | 鉴权方法、设备及服务器 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| WO2020081501A1 (en) | Method and system for pairing wireless mobile device with iot device | |
| KR20140098872A (ko) | 모바일 nfc단말기 웹 서비스를 위한 바이오인식과 tsm 기반의 보안 시스템 및 방법 | |
| CN113849847B (zh) | 用于对敏感数据进行加密和解密的方法、设备和介质 | |
| WO2020036070A1 (ja) | 端末登録システムおよび端末登録方法 | |
| CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
| EP3550765A1 (en) | Service provisioning | |
| CN112866988B (zh) | 终端的隐私保护方法和装置、终端 | |
| CN114143198B (zh) | 固件升级的方法 | |
| CN111770488B (zh) | Ehplmn更新方法、相关设备及存储介质 | |
| CN113079506A (zh) | 网络安全认证方法、装置及设备 | |
| CN110536289A (zh) | 密钥发放方法及其装置、移动终端、通信设备和存储介质 | |
| WO2023221502A1 (zh) | 数据传输方法和系统及信令安全管理网关 | |
| CN117176347B (zh) | 一种移动应用证书验证方法与系统 | |
| JP2012138729A (ja) | データ処理装置、プログラム、およびデータ処理システム | |
| Wognsen et al. | A secure relay protocol for door access control | |
| KR20220107431A (ko) | 하드웨어 보안 모듈을 이용한 인증 서버와 디바이스 간의 상호 인증 방법 및 이를 이용한 장치 | |
| CN118802225A (zh) | 升级数据包传输方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |