CN115186306A - 指令处理方法、装置、安全单元、终端设备及存储介质 - Google Patents
指令处理方法、装置、安全单元、终端设备及存储介质 Download PDFInfo
- Publication number
- CN115186306A CN115186306A CN202211106709.0A CN202211106709A CN115186306A CN 115186306 A CN115186306 A CN 115186306A CN 202211106709 A CN202211106709 A CN 202211106709A CN 115186306 A CN115186306 A CN 115186306A
- Authority
- CN
- China
- Prior art keywords
- blocking
- channel
- application
- instruction
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Retry When Errors Occur (AREA)
Abstract
本申请提供一种指令处理方法、装置、安全单元、终端设备及存储介质,该指令处理方法应用于安全单元(SE,Secure Element),该方法包括:当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数;若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件才会处理并响应第二通道的指令。通过阻断参数的配置,使得应用对应的指令得以优先处理,防止因需响应其他应用的指令而导致该应用的指令流处理被中断,提高了应用指令的响应速度,进而提高了应用服务的质量。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种指令处理方法、装置、安全单元、终端设备及存储介质。
背景技术
安全单元(Secure Element,SE),又称为安全芯片,通过其安全硬件和安全软件,确保SE与外部设备之间指令和数据的交互安全,被广泛应用于刷卡支付、门禁系统、智能车钥匙、电子身份证等应用场景。
由于SE处理指令采用半双工(Half Duplex)模式,同时仅可以处理一个通道发送的一条指令。导致针对不同的应用通过不同的通道向SE发送指令的场景,SE会按照时间顺序穿插响应来自不同通道的不同应用的指令,导致应用对应的指令流的响应周期长,响应效率低下。
发明内容
本申请提供一种指令处理方法、装置、安全单元、终端设备及存储介质,通过为应用增设的阻断参数,实现了指令阻断策略,以优先处理设定应用对应的指令流,提高了应用对应的指令流的响应速度。
第一方面,本申请提供一种指令处理方法,应用于安全单元,该方法包括:
当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数;
若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件。
可选的,满足阻断结束条件,包括:
超时计时器超出第一应用对应的时间阈值;或,
所述第一通道上的第一应用的会话结束。
可选的,若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件,包括:
若所述阻断参数满足阻断条件,则安全单元执行阻断策略,开启超时计时器;
在所述超时计时器超出第一应用对应的时间阈值之前以及所述第一通道上的第一应用的会话结束之前,处理所述第一应用通过所述第一通道接收的第一指令,并在通过第二通道接收到第二指令时,所述安全单元暂时阻止响应所述第二指令;
在满足所述阻断结束条件后,响应所述第二指令
可选的,当所述超时计时器超出所述第一应用对应的时间阈值时,所述方法还包括:
判断是否存在所述第一应用通过所述第一通道接收的未处理完成的指令;
若是,则在所述未处理完成的指令处理完成后,响应接收的所述第二通道的指令。
可选的,所述方法还包括:
获取系统时间阈值,以及提取所述阻断参数中的第一时间阈值;根据所述第一时间阈值以及所述系统时间阈值,确定所述时间阈值。
可选的,在获取所述第一应用的阻断参数之后,所述方法还包括:
提取所述阻断参数中的通道参数;若所述第一通道的类型与所述通道参数不匹配则确定所述阻断参数不满足阻断条件。
可选的,在获取所述第一应用的阻断参数之后,所述方法还包括:
提取所述阻断参数中的连续处理参数以及通道参数;
若所述连续处理参数为预设参数,且所述第一通道的类型与所述通道参数匹配,则确定所述阻断参数满足阻断条件。
第二方面,本申请提供一种指令处理装置,应用于安全单元,该装置包括:
阻断参数获取模块,用于当第一应用在第一通道上被成功选择后获取所述第一应用的阻断参数;
指令阻断模块,用于若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件。
在一种可能的实现方式中,指令阻断模块,具体用于:
若所述阻断参数满足阻断条件,则安全单元执行阻断策略,开启超时计时器;在所述超时计时器超出第一应用对应的时间阈值之前以及所述第一通道上的第一应用的会话结束之前,处理所述第一应用通过所述第一通道接收的第一指令;并在通过第二通道接收到第二指令时,所述安全单元暂时阻止响应所述第二指令。
在一种可能的实现方式中,所述装置还包括:
第二指令响应模块,用于在满足所述阻断结束条件后,响应接收的所述第二指令。
在一种可能的实现方式中,所述装置还包括:
超时指令处理模块,用于当所述超时计时器超出所述第一应用对应的时间阈值时,判断是否存在所述第一应用通过所述第一通道接收的未处理完成的指令;若是,则在所述未处理完成的指令处理完成后,响应接收的所述第二通道的指令。
在一种可能的实现方式中,所述装置还包括:
时间阈值确定模块,用于获取系统时间阈值,以及提取所述阻断参数中的第一时间阈值;根据所述第一时间阈值以及所述系统时间阈值,确定所述时间阈值。
在一种可能的实现方式中,所述装置还包括:
第一阻断条件判定模块,用于在获取所述第一应用的阻断参数之后,提取所述阻断参数中的通道参数;若所述第一通道的类型与所述通道参数不匹配则确定所述阻断参数不满足阻断条件。
在一种可能的实现方式中,所述装置还包括:
第二阻断条件判定模块,用于在获取所述第一应用的阻断参数之后,提取所述阻断参数中的连续处理参数以及通道参数;若所述连续处理参数为预设参数,且所述第一通道的类型与所述通道参数匹配,则确定所述阻断参数满足阻断条件。
第三方面,本申请提供一种安全单元,包括:存储器和至少一个处理器;所述存储器存储计算机执行指令;所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如本申请第一方面提供的指令处理方法。
第四方面,本申请提供一种终端设备,包括终端主体、通讯模块以及本申请第三方面提供的安全单元。
第五方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如本申请第一方面提供的方法。
第六方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如本申请第一方面提供的方法。
本申请实施例提供的指令处理方法、装置、安全单元、终端设备及存储介质,针对安全单元响应应用对应的指令的应用场景,提供了一种指令处理方法,该方法由安全单元执行,当第一应用在第一通道上被成功选择后,获取该第一应用的阻断参数,判断阻断参数是否满足阻断条件,若是,则执行该阻断参数对应的阻断策略,从而暂时阻止安全单元响应来自其他通道(如第二通道)的指令,直至满足阻断结束条件,如该第一应用的会话结束,方处理并响应其他通道的指令,从而使得安全单元优先响应阻断参数满足阻断条件的应用对应的指令流,减少该类应用指令处理所需的时间,提高该类应用的响应速度。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种应用场景的示意图;
图2为本申请实施例提供的指令处理方法实施例一的流程示意图;
图3为本申请一个实施例提供的指令流响应过程的示意图;
图4为本申请实施例提供的指令处理方法实施例二的流程示意图;
图5为本申请图3所示实施例中指令流处理过程的示意图;
图6为本申请实施例提供的指令处理方法实施例三的流程示意图;
图7为本申请实施例提供的指令处理装置实施例一的结构示意图;
图8为本申请实施例提供的安全单元的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先,对本申请涉及的名词进行解释:
半双工:指的是数据在传输时可以在一个信号载体的两个方向上传输,但是不同同时传输,即同一时间仅可以传输一个方向的信号。
图1为本申请提供的一种应用场景的示意图,如图1所示,安全单元10上设置有多个通道,图1中以3个通道为例,即通道11、通道12和通道13,以通过通道与终端设备20,如移动终端、读卡器等,进行数据交互,以实现各种应用,如刷卡支付、余额查询、电子身份证、数字货币、模拟卡、车钥匙、开启门禁等。
由于数据通信的半双工特点,导致安全单元10在响应一个终端设备20通过其中一个通道(如通道11)的指令cmd1时,若另一个终端设备20通过其他通道(如通道12)向安全单元10发送了一条指令cmd2,则安全单元10的协议层先接收指令cmd2,待指令cmd1处理完成后,如返回指令cmd1的响应或指令cmd1的响应超时,再响应cmd2。即安全单元20会按照指令的时序依次穿插处理各通道对应的指令。
采用上述通道穿插的方式进行指令响应,对于一些对处理时限存在较为严格要求的应用,如支付应用、余额查询应用、电子身份证应用等,若在该应用对应的指令流处理的过程中,穿插处理其他应用的指令流,将导致该应用对应的服务响应失败。
为了提高对处理时限要求较高的应用指令流的处理效率,减少应用响应时间,本申请提供了一种指令处理方法,通过应用预先设置的阻断参数,触发指令的阻断策略,从而优先响应满足阻断条件的应用接收的指令流,暂时阻止安全单元在响应该应用的指令流时,穿插响应其他应用或该应用通过其他通道接收的指令,直至满足阻断结束条件,以确保安全单元连续处理阻断参数满足阻断条件的应用的指令。
下面以具体地实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本申请实施例提供的指令处理方法实施例一的流程示意图,该指令处理方法应用于安全单元,如eSE(Embedded Security Element,嵌入式安全单元)。
如图2所示,该指令处理方法具体包括以下步骤:
S201,当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数。
其中,第一应用可以为安全单元支持的任意一种应用,如支付应用、余额查询应用、身份认证应用、车钥匙应用、门禁应用等。阻断参数可以包括连续处理参数,连续处理参数用于表示应用是否支持阻断功能。
示例性的,连续处理参数的长度可以为1字节,连续处理参数的值为1时,表示不支持阻断功能,值为2时,则表示支持阻断功能。
具体的,可以在应用实例化过程中,为应用设置对应的阻断参数。
在一个实施例中,阻断参数可以存储于应用的安装参数中,该安装参数还可以包括用户交互参数、空间管理参数、协议参数等。
第一应用在第一通道上被成功选择后,安全单元内安装的第一应用得以通过第一通道对应的链路,与其他终端进行数据交互,该其他终端可以为读卡器、手机、手环等终端设备。
如无特殊指明,本申请实施例提及的指令为通过对应的通道下发至安全单元内应用的指令或安全单元内应用通过对应的通道接收到的指令,安全单元内的应用包括上述第一应用、后文提及第二应用等。
S202,若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件。
其中,阻断结束条件,用于结束当前执行的阻断策略。
满足阻断结束条件可以为第一应用对应的会话结束。
在一个实施例中,阻断结束条件可以包括时间条件,如在第一应用对应的会话或指令流的处理时间超过设定的时间阈值,则满足阻断结束条件。
可选的,满足阻断结束条件,包括:
超时计时器超出第一应用对应的时间阈值;或,所述第一通道上的第一应用的会话结束。
当安全单元内操作系统执行阻断策略时,安全单元暂时不响应通过其他通道的指令,如通过第二通道发送的以访问安全单元内的第一应用或其他应用的指令。
具体的,可以判断第一应用的阻断参数是否满足阻断条件,如判断连续处理参数是否为支持阻断功能对应的参数,如2,若是,则确定阻断参数满足阻断条件。
若阻断参数满足阻断条件,则触发阻断策略,从而暂时阻止安全单元响应其他通道(第二通道)的指令,连续响应第一应用通过对应的第一通道接收的指令流,从而确保第一应用通过第一通道接收的指令流的处理不被其他应用或第一应用通过其他通道接收的指令中断。
进一步地,可以判断第一通道以及阻断参数是否满足阻断条件。阻断参数中包括连续处理参数和通道参数,若连续处理参数为支持阻断功能对应的参数,如2,且第一通道与阻断参数中的通道参数匹配,则满足阻断条件,触发阻断参数对应的阻断策略。
第一通道与阻断参数中的通道参数匹配可以为:第一通道的类型与阻断参数中通道参数对应的类型一致。
若阻断参数不满足阻断条件,如第一通道的类型与阻断参数中的通道参数不匹配,或者阻断参数中的连续处理参数不是预设参数,如连续处理参数为1,则安全单元不触发阻断策略,按照正常处理策略处理后续接收的各条指令,即按照接收时序依次处理第一应用通过第一通道下发的指令以及其他通道下发的指令,即采用通道指令穿插处理的方式,基于指令的时序,依次处理各通道下发的指令。
可选的,在获取所述第一应用的阻断参数之后,所述方法还包括:
提取所述阻断参数中的通道参数;若所述第一通道的类型与所述通道参数不匹配则确定所述阻断参数不满足阻断条件。
若第一通道的类型与通道参数匹配,则提取阻断参数中连续处理参数,若连续处理参数为预设参数,则确定阻断参数满足阻断条件。
可以由安全单元内操作系统执行阻断策略,从而在不满足阻断结束条件时,暂时阻止安全单元响应通过第二通道发送的第一应用或其他应用的指令。
示例性的,图3为本申请一个实施例提供的指令流响应过程的示意图,如图3所示,安全单元包括四个通道,通道a至通道d,以需要进行两个应用(App_a和App_b)对应的指令流的响应为例,其中,应用App_a的连续处理参数isCPApp的值为2(支持阻断功能),应用App_b的连续处理参数isCPApp的值为1(不支持阻断功能),则当应用App_a在其指定的通道a(第一通道)上被成功选择,如成功执行应用App_a的指令1(可以为select App_a),则触发阻断策略,安全单元依次响应外部设备发送至安全单元的应用App_a后续的指令2至指令4,若在外部设备发送指令2至安全单元后,安全单元的应用App_b通过其他通道(如通道d)接收到指令x,则指令x会被阻断,即安全单元先不响应指令x,待应用App_a的指令4响应完毕后,再响应指令x。
本申请实施例提供的指令处理方法,针对安全单元响应应用对应的指令的应用场景,提供了一种指令处理方法,该方法由安全单元执行,当第一应用在第一通道上被成功选择后,获取该第一应用的阻断参数,判断阻断参数是否满足阻断条件,若是,则执行该阻断参数对应的阻断策略,从而暂时阻止安全单元响应来自其他通道(如第二通道)的指令,直至满足阻断结束条件,如该第一应用的会话结束,方处理并响应其他通道的指令,从而使得安全单元优先响应阻断参数满足阻断条件的应用对应的指令流,减少该类应用指令处理所需的时间,提高该类应用的响应速度。
为使读者更深刻地理解本申请实施例的实现原理,现结合以下图4至图6对图2所示的实施例进行进一步细化或解释。
图4为本申请实施例提供的指令处理方法实施例二的流程示意图,本实施例是在图2所示实施例的基础上,对步骤S202进行进一步细化,以及在步骤S202之前增加第一通道以及时间阈值确定的相关步骤,如图4所示,本实施例提供的指令处理方法可以包括以下步骤:
S401,当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数。
阻断参数包括连续处理参数isCPApp,还可以包括通道参数和第一时间阈值中的至少一项。
S402,提取所述阻断参数中的连续处理参数以及通道参数。
其中,通道参数可以指定应用对应的支持触发阻断策略的通道或通道的类型。
通道参数可以为通道类型或通道标识,用于描述应用在触发阻断策略时,所对应的通道的类型。
通道类型可以分为接触式通道和非接触式通道两大类,基于通道所支持的通信协议类型划分,接触式通道可以分为SPI(Serial Peripheral Interface,串行外设接口)、7816、Apdu(Application Protocol Data Unit,应用协议数据单元)、Gate等类型的通道。非接触式通道可以包括蓝牙通道、近场通讯通道等。
在一个实施例中,通道参数可以为通道类型,其长度可以为1个字节。
当阻断参数中的通道参数缺省时,若连续处理参数表示应用支持阻断功能,如为2,则该通道参数可以为默认通道参数,如非接触式通道,即支持触发阻断策略的通道为非接触式通道。即当阻断参数中不包括通道参数时,若连续处理参数表示应用支持阻断功能,则默认在非接触通道上该应用拥有阻断功能。
表1通道类型各比特位的定义表
bit7 | bit6 | bit5 | bit4 | bit3 | bit2 | bit1 | bit0 | 描述 |
1 | 非接触式 | |||||||
1 | Apdu、Gate | |||||||
1 | 7816 | |||||||
1 | SPI | |||||||
Rfu | ||||||||
Rfu | ||||||||
Rfu | ||||||||
Rfu |
示例性的,表1为通道类型各比特位的定义表,如表1所示,通道类型的bit4至bit7这高四位每一位对应一种通道类型,当对应的比特位的取值为1时,表示应用在触发阻断策略时支持的通道的类型,如通道类型的取值为16时,则表示通道类型为SPI。在表1中,“Rfu”表示预留,即暂时未被使用,可以在后续开发过程中进行扩展。
S403,根据所述连续处理参数以及通道参数,判断所述阻断参数是否满足阻断条件。
具体的,在获取第一应用的阻断参数之后,可以提取该阻断参数中的连续处理参数以及通道参数;若阻断参数中的连续处理参数为预设参数(如2),且第一通道的类型与阻断参数中的通道参数匹配,则确定阻断参数满足阻断条件。
第一通道的类型与阻断参数中的通道参数匹配,可以为第一通道的类型为阻断参数中通道参数对应的通道的类型,如非接触通道。
具体的,可以根据阻断参数的长度以及阻断参数中各字节的取值,确定连续处理参数以及通道参数。
阻断参数的长度可以为0至4字节。若阻断参数的长度为0字节或未设置阻断参数,则直接确定阻断参数不满足阻断条件;当阻断参数的长度为1字节时,则阻断参数仅包括连续处理参数,通道参数缺省,若连续处理参数为预设参数,则通道参数可以为其默认值,如表示非接触通道的数值,第一时间阈值可以为默认值;当阻断参数的长度为2字节时,则阻断参数表示第一时间阈值,连续处理参数和通道参数缺省,可以采用相应的默认值表示连续处理参数和通道参数(如isCPApp的值为2,通道参数为非接触通道的数值);当阻断参数的长度为3字节时,第一字节表示连续处理参数,第二字节和第三字节表示第一时间阈值,通道参数缺省,采用默认值表示,如非接触通道对应的数值;若阻断参数的长度为4字节,则第一字节表示连续处理参数,第二字节和第三字节表示第一时间阈值,第四字节表示通道参数。由此可确定连续处理参数以及通道参数的取值。
S404,获取系统时间阈值,以及提取所述阻断参数中的第一时间阈值。
其中,系统时间阈值可以为安全单元预先设置的计时器的时间阈值。第一时间阈值为应用对应的阻断参数中设置的该计时器的时间阈值。
阻断参数可以包括多个字节,以表示连续处理参数、第一时间阈值以及通道参数中的至少一项。具体的,可以根据阻断参数的长度,确定阻断参数各字节对应的参数,包括连续处理参数、第一时间阈值以及通道参数中的至少一项,从而基于阻断参数各字节对应的参数,得到上述连续处理参数、第一时间阈值以及通道参数中的至少一项。
示例性的,若阻断参数的长度仅为1个字节时,则该字节表示连续处理参数;若阻断参数的长度仅为2个字节时,则该2个字节表示第一时间阈值;若阻断参数的长度仅为3个字节时,则第一个字节表示连续处理参数,第2和3个字节表示第一时间阈值;若阻断参数的长度为4个字节,则第一个字节表示上述连续处理参数,第2和3个字节表示第一时间阈值,第四个字节则表示通道类型。
对于阻断参数中缺省的参数,可以采用对应的默认参数。
示例性的,连续处理参数的默认参数可以为2,即默认支持阻断功能;第一时间阈值的默认参数可以为100ms、150ms、200ms或者其他值;通道类型的默认参数可以为非接触式通道。默认参数还可以根据应用的类型确定。
在一个实施例中,若阻断参数中的连续处理参数的取值表示应用支持阻断功能,且通道类型缺省时,则可以默认通道类型为非接触通道,即应用默认具备非接触通道的阻断功能。
当存在多个应用支持阻断功能时,按照应用被选择的顺序,依次触发各应用对应的阻断策略,即遵循先来先占用的原则进行阻断。
示例性的,若App_1支持阻断功能,如连续处理参数isCPApp为2,App_1被对应的通道选择,即App_1接收到对应通道的选择指令,且App_1成功执行该选择指令,则App_1通过对应的通道接收后续的指令流,与此同时,若后续在其他通道上检测到支持阻断功能(即满足阻断条件)的App_2的选择指令,则阻断App_2的选择指令,连续处理App_1的指令流。若APP_2不支持阻断功能,在APP_1对应的阻断策略执行期间,满足阻断结束条件后,再响应App_2的选择指令以及响应App_2通过对应的通道接收的后续的指令流,即按照指令的时序依次响应各条指令。若APP_2同样支持阻断功能,则在APP_1对应的阻断策略执行期间,满足阻断结束条件后,执行APP_2对应的阻断策略,以响应APP_2接收的指令流,依次类推。
S405,根据所述第一时间阈值以及所述系统时间阈值,确定所述时间阈值。
在一个实施例中,可以先执行步骤S402和步骤S403,再执行步骤S404和步骤S405,也可以先执行步骤S404和步骤S405,再执行步骤S402和步骤S403,或者也可并行执行步骤S404、S405和步骤S402、S403,本申请对上述步骤的执行顺序和方式不进行限定,仅需满足相应的逻辑即可。图4中以步骤S402和步骤S404并行执行为例。
在一个实施例中,可以省略系统时间阈值,直接以提取的阻断参数中的第一时间阈值为时间阈值,进行阻断结束条件的判断。
在一个实施例中,若阻断参数中不包括第一时间阈值,直接以系统时间阈值为时间阈值,进行阻断结束条件的判断。
在一个实施例中,若阻断参数中不包括第一时间阈值,第一时间阈值也可采用缺省值,如上文提到的100ms等。
具体的,可以确定第一时间阈值和系统时间阈值中较小的阈值,为该时间阈值。
进一步地,可以根据第一应用的应用类型,确定第一应用对应的时间阈值的计算关系式,进而将第一时间阈值以及系统时间阈值代入该计算关系式,得到第一应用对应的时间阈值。
示例性的,支付应用对应的时间阈值可以为第一时间阈值,余额查询应用对应的应用的时间阈值可以为第一时间阈值和系统时间阈值中较小的阈值,车钥匙应用对应的时间阈值可以为第一时间阈值和系统时间阈值中较大的阈值。
选择较大的阈值为时间阈值,可以使得应用的指令流得到较长的连续执行时间,从而有效确保应用的指令流被连续处理,避免由于指令较多、所需执行时间较长等原因,导致指令流无法连续处理完毕而被中断。
在一个实施例中,应用优先级大于或等于预设等级的应用的时间阈值,可以为第一时间阈值和系统时间阈值中较大的阈值;应用优先级小于预设等级的应用的时间阈值,可以为第一时间阈值和系统时间阈值中较小的阈值。
应用的时间阈值还可以为第一时间阈值和系统时间阈值的平均值。
用户可以根据需求,配置应用的时间阈值的计算关系式。
S406,若所述阻断参数满足阻断条件,则安全单元执行阻断策略,开启超时计时器。
具体的,若阻断参数中的连续处理参数为预设参数(如2),且第一通道与阻断参数中对应的通道参数一致,则确定阻断参数满足阻断条件。
第一通道与阻断参数中对应的通道参数一致可以为第一通道为阻断参数中通道参数对应的通道,如非接触通道。
当确定阻断参数满足阻断条件后,安全单元开启超时计时器,开始进行计时,并触发阻断结束条件判断的流程。
S407,在所述超时计时器超出时间阈值之前以及所述第一通道上的第一应用的会话结束之前,处理所述第一应用通过所述第一通道接收的第一指令;并在通过第二通道接收到第二指令时,所述安全单元暂时阻止响应所述第二指令。
其中,第二指令可以为第一应用或其他应用对应的指令。
具体的,在安全单元触发(开启或执行)第一应用对应的阻断策略之后,若在处理第一应用通过第一通道接收的第一指令的期间,通过第二通道接收到第二指令,则暂时阻止安全单元响应该第二指令。
在触发第一应用对应的阻断策略之后,在超时计时器的计时超出时间阈值之前,检测第一通道上的第一应用的会话是否结束,若否,则响应第一应用通过所述第一通道发送的指令,即按照时序依次响应(或处理)第一应用对应的各个第一指令,同时,暂时阻止安全单元响应其他应用通过其他通道接收的指令,即各个第二指令,可以先通过协议层接收各个第二指令,在满足阻断结束条件之后,再处理各个第二指令。
若超时计时器超出时间阈值或第一通道上的第一应用的会话结束,即满足阻断结束条件,则安全单元依次响应接收的各个第二指令。如按照时序依次处理各个第二指令,若第二指令对应的应用的阻断参数满足阻断条件,则安全单元执行该应用对应的阻断策略,依次类推。
在本实施例中,通过应用的阻断参数自定义应用对应的通道参数以及第一时间阈值,从而在触发应用的阻断策略时,可以基于所配置的通道参数以及第一时间阈值灵活制定应用的阻断策略;当应用的阻断参数满足阻断条件时,触发应用的阻断策略,从而优先响应应用通过所开启的通道接收的指令流,同时安全单元暂时阻止响应其他通道下发的指令,以确保应用指令流处理的连续性,减少应用指令流处理所需时间,以超时计时器的计时以及应用对应的会话是否结束,作为所触发的阻断策略的结束条件,阻断策略结束控制逻辑简单,且准确度高,避免了一个应用长时间占用安全单元,而导致其他应用的指令无法被响应。
可选的,所述方法还包括:
在所述超时计时器超出所述时间阈值之前,若所述第一通道上的第一应用的会话结束,则响应接收的所述第二指令。
若在超时计时器的计时超出时间阈值之前,第一通道上的第一应用的会话结束,则第一通道上的第一应用的会话结束之后,按照时序依次响应所接收的各个第二指令。
第二指令可以为第一应用或其他应用通过除第一通道以外的通道接收的指令。
可选的,当所述超时计时器超出所述时间阈值时,所述方法还包括:
判断是否存在所述第一应用通过所述第一通道接收的未处理完成的指令;若是,则在所述未处理完成的指令处理完成后,响应接收的所述第二指令。
为了进一步提高阻断参数满足阻断条件的应用指令流处理的连续性,在超时计时器的计时超出对应的时间阈值时,先判断是否仍存在第一应用通过第一通道接收的未处理完成的指令;若否,则结束第一应用的阻断策略,按照时序依次响应所接收的各个第二指令,即恢复正常的指令处理流程;若是,则在第一应用的未处理完成的指令处理完成后,按照时序依次响应所接收的各个第二指令。
示例性的,图5为本申请图3所示实施例中指令流处理过程的示意图,以图3所示实施例为例,在图5中,COS(Chip Operating System,片内操作系统)表示安全单元的操作系统,用于进行指令处理并反馈对应的响应。“Sent N”表示外部设备(如读卡器)发送给安全单元的指令N,“Res N”表示安全单元发送至外部设备的指令N对应的响应数据,N可以为1、2、3、4或x,图5中以指令1为选择指令,即Select App_a为例。阻断结束条件包括两个条件:条件1和条件2,条件1为超过时间阈值,且触发阻断策略的应用(如App_a或第一应用)未处理完毕的指令被处理完毕,条件2为触发阻断策略的应用会话结束。如图5所示,指令1至指令4以及指令x的处理过程为:
外部设备在通道a上发送选择应用App_a的选择指令,在应用App_a在通道a上被成功选择之后,由于应用App_a的阻断参数满足阻断条件,则触发阻断策略,超时计时器开始计时,COS接收并处理指令1,将指令1对应的响应Res1通过通道a反馈至对应的外部设备;外部设备通过通道a向安全单元的COS发送指令2,COS接收并处理指令2;在此过程中,若接收到通过通道d向安全单元的COS发送其他指令,如指令x,图5中以指令x为应用App_b的指令为例,在一些实施例中,指令x还可以为App_a或者不对应任何应用的指令,如系统指令。由于阻断策略,COS仅接收该指令x,并不会响应指令x,而是继续接收并处理App_a通过通道a发送的指令3。以下分两种情况进行解释,第一种情况下,假设在App_a的会话(Session)未结束时,超时计时器计时结束,即超过时间阈值,如假设在COS接收指令3之后,超时计时器计时结束,则在指令3处理完毕后,即将Res_3通过通道a反馈至外部设备之后,满足阻断结束条件中的条件1,阻断策略结束;COS开始响应或处理指令x,生成指令x的响应Res x,通过通道d将响应Res x发送至应用App_b对应的外部设备。第二种情况,假设在超时计时器计时结束之前,应用App_a的会话结束,具体为COS接收并处理应用App_a发送的指令4,通过通道a将响应Res 4发送至App_a对应的外部设备之后,App_a的会话结束,则满足阻断结束条件中的条件2,阻断策略结束;COS开始响应或处理指令x,生成指令x的响应Res x,通过通道d将响应Res x发送至App_b对应的外部设备。
图6为本申请实施例提供的指令处理方法实施例三的流程示意图,如图6所示,本实施例提供的指令处理方法可以包括以下步骤:
S601,第一应用在第一通道上被成功选择后。
S602,判断第一应用的阻断参数中的连续处理参数是否为2,以及第一应用的阻断参数中的通道参数是否包括第一通道;若均为是,则执行步骤S603;若任意一项的判断结果为否,则执行步骤S610。
需要说明的是,如果阻断参数中没有连续处理参数或通道参数(如阻断参数仅有两个字节表示第一时间阈值参数时),可默认连续处理参数为2或通道参数对应的通道类型为非接触通道。
S603,触发第一应用的阻断策略,开启超时计时器。
S604,判断超时计时器是否超出时间阈值;若否,则执行步骤S605;若是,则执行步骤S607。
S605,判断第一通道上的第一应用的会话是否结束;若否,则执行步骤S606;若是,则执行步骤S609。
S606,响应第一应用通过第一通道接收的下一条指令,返回步骤S604。
S607,判断是否存在第一应用通过第一通道接收的未处理完成的指令;若是,则执行步骤S608;若否,则执行步骤S609。
S608,在所述未处理完成的指令处理完成后,结束第一应用的阻断策略,响应第二通道的指令。
S609,结束第一应用的阻断策略,响应第二通道的指令。
其中,第二通道为除去第一通道之外的任意通道。
S610,正常处理后续指令。即按照接收指令的时间顺序,依次处理各指令。
图7为本申请实施例提供的指令处理装置实施例一的结构示意图,如图7所示,该指令处理装置包括:阻断参数获取模块710和指令阻断模块720。
其中,阻断参数获取模块710用于当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数;指令阻断模块720用于若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件。
在一种可能的实现方式中,指令阻断模块720,具体用于:
若所述阻断参数满足阻断条件,则安全单元执行阻断策略,开启超时计时器;在所述超时计时器超出第一应用对应的时间阈值之前以及所述第一通道上的第一应用的会话结束之前,处理所述第一应用通过所述第一通道接收的第一指令;并在通过第二通道接收到第二指令时,所述安全单元暂时阻止响应所述第二指令。
在一种可能的实现方式中,所述装置还包括:
阻断判定模块,用于判断所述第一应用的阻断参数以及所述第一通道,是否满足阻断条件。
在一种可能的实现方式中,所述装置还包括:
第二指令响应模块,用于在满足所述阻断结束条件后,响应接收的所述第二指令。
在一种可能的实现方式中,所述装置还包括:
超时指令处理模块,用于当所述超时计时器超出所述第一应用对应的时间阈值时,判断是否存在所述第一应用通过所述第一通道接收的未处理完成的指令;若是,则在所述未处理完成的指令处理完成后,响应接收的所述第二通道的指令。
在一种可能的实现方式中,所述装置还包括:
时间阈值确定模块,用于获取系统时间阈值,以及提取所述阻断参数中的第一时间阈值;根据所述第一时间阈值以及所述系统时间阈值,确定所述时间阈值。
在一种可能的实现方式中,所述装置还包括:
第一通道确定模块,用于在获取所述第一应用的阻断参数之后,提取所述阻断参数中的通道参数;根据所述通道参数,确定所述第一通道。
本申请实施例提供的指令处理装置,可用于执行上述任意方法实施例中的指令处理方法,其实现原理和技术效果类似,此处不做作赘述。
本申请还提供一种指令交互装置,该指令交互装置应用于终端设备,所述终端设备被配置为通过安全单元的通道与所述安全单元进行指令交互,所述装置包括:
阻断参数设置模块,用于设置安全单元对应的应用的阻断参数;指令交互模块,用于根据所述阻断参数,创建所述应用对应的实例;基于所创建的实例,在安全单元的所述应用在通道上被成功选择后,通过选择的通道向所述安全单元发送所述应用对应的指令。
图8为本申请实施例提供的安全单元的结构示意图,如图8所示该安全单元,包括:存储器810和至少一个处理器820。
其中,存储器810存储计算机执行指令;至少一个处理器820执行存储器810存储的计算机执行指令,使得至少一个处理器820执行如本申请任意实施例提供的指令处理方法。
其中,存储器80和处理器820通过总线830连接。
相关说明可以对应参见本申请指令处理方法对应的实施例提供的步骤所对应的相关描述和效果进行理解,此处不做过多赘述。
本申请实施例还提供一种终端设备,包括存储器和至少一个处理器。
其中,存储器存储计算机执行指令;至少一个处理器执行存储器存储的计算机执行指令,使得至少一个处理器执行如本申请任意实施例提供的指令处理方法。
其中,存储器和处理器通过总线连接。
相关说明可以对应参见本申请指令处理方法对应的实施例提供的步骤所对应的相关描述和效果进行理解,此处不做过多赘述。
在一个实施例中,该终端设备可以为设置有安全单元的移动终端,如手机、手环等,该终端设备还可以为读卡器,通过接触式通道或非接触式通道与安全单元进行指令交互,以完成刷卡支付、开启门禁等操作。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如本申请任意实施例提供的方法。
本申请实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如本申请任意实施例提供的方法。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。在本申请的实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请的实施例的实施过程构成任何限定。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种指令处理方法,其特征在于,所述方法应用于安全单元,所述方法包括:
当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数;
若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件。
2.根据权利要求1所述的方法,其特征在于,满足阻断结束条件,包括:
超时计时器超出第一应用对应的时间阈值;或,
所述第一通道上的第一应用的会话结束。
3.根据权利要求2所述的方法,其特征在于,若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件,包括:
若所述阻断参数满足阻断条件,则安全单元执行阻断策略,开启超时计时器;
在所述超时计时器超出第一应用对应的时间阈值之前以及所述第一通道上的第一应用的会话结束之前,处理所述第一应用通过所述第一通道接收的第一指令,并在通过第二通道接收到第二指令时,所述安全单元暂时阻止响应所述第二指令;
在满足所述阻断结束条件后,响应所述第二指令。
4.根据权利要求2所述的方法,其特征在于,当所述超时计时器超出所述第一应用对应的时间阈值时,所述方法还包括:
判断是否存在所述第一应用通过所述第一通道接收的未处理完成的指令;
若是,则在所述未处理完成的指令处理完成后,响应接收的所述第二通道的指令。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取系统时间阈值,以及提取所述阻断参数中的第一时间阈值;
根据所述第一时间阈值以及所述系统时间阈值,确定所述时间阈值。
6.根据权利要求1-5任一项所述的方法,其特征在于,在获取所述第一应用的阻断参数之后,所述方法还包括:
提取所述阻断参数中的连续处理参数以及通道参数;
若所述连续处理参数为预设参数,且所述第一通道的类型与所述通道参数匹配,则确定所述阻断参数满足阻断条件。
7.一种指令处理装置,其特征在于,应用于安全单元,所述装置包括:
阻断参数获取模块,用于当第一应用在第一通道上被成功选择后,获取所述第一应用的阻断参数;
指令阻断模块,用于若所述阻断参数满足阻断条件,则安全单元执行阻断策略,暂时阻止响应第二通道的指令,直至满足阻断结束条件。
8.一种安全单元,其特征在于,包括:存储器和至少一个处理器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1至6任一项所述的指令处理方法。
9.一种终端设备,其特征在于,包括终端主体、通讯模块以及权利要求8所述的安全单元。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211106709.0A CN115186306B (zh) | 2022-09-13 | 2022-09-13 | 指令处理方法、装置、安全单元、终端设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211106709.0A CN115186306B (zh) | 2022-09-13 | 2022-09-13 | 指令处理方法、装置、安全单元、终端设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115186306A true CN115186306A (zh) | 2022-10-14 |
CN115186306B CN115186306B (zh) | 2023-05-16 |
Family
ID=83524774
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211106709.0A Active CN115186306B (zh) | 2022-09-13 | 2022-09-13 | 指令处理方法、装置、安全单元、终端设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115186306B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850497B1 (en) * | 1995-09-19 | 2005-02-01 | Mobile Satellite Ventures, Lp | Satellite trunked radio service system |
CN109348470A (zh) * | 2018-09-10 | 2019-02-15 | 中国联合网络通信集团有限公司 | 业务切换方法、终端、网络服务器及存储介质 |
CN110023941A (zh) * | 2016-12-29 | 2019-07-16 | 华为技术有限公司 | 一种实现安全操作系统切换的片上系统和方法 |
CN110505655A (zh) * | 2018-09-10 | 2019-11-26 | 深圳市文鼎创数据科技有限公司 | 数据指令处理方法、存储介质及蓝牙盾 |
CN110543348A (zh) * | 2019-09-06 | 2019-12-06 | 北京奇艺世纪科技有限公司 | 一种指令处理方法、系统、电子设备和存储介质 |
CN110737453A (zh) * | 2019-10-17 | 2020-01-31 | 北京智芯微电子科技有限公司 | 安全芯片的升级方法、装置及安全芯片 |
EP3696759A1 (en) * | 2019-02-15 | 2020-08-19 | Nxp B.V. | Method of managing priority in the context of a secure element domain with multiple interfaces, electronic device and communication system |
CN113094305A (zh) * | 2021-04-02 | 2021-07-09 | 北京黑蚁兄弟科技有限公司 | 一种异步通信处理方法、装置和存储介质 |
CN113326012A (zh) * | 2021-06-01 | 2021-08-31 | 深圳市泰衡诺科技有限公司 | 处理方法、移动终端及存储介质 |
CN113886297A (zh) * | 2021-09-27 | 2022-01-04 | 北京中电华大电子设计有限责任公司 | 一种基于dma的spi并发通讯se装置及方法 |
CN114356547A (zh) * | 2021-12-07 | 2022-04-15 | 北京百度网讯科技有限公司 | 基于处理器虚拟化环境的低优阻塞方法及装置 |
CN114499958A (zh) * | 2021-12-24 | 2022-05-13 | 东软睿驰汽车技术(沈阳)有限公司 | 控制方法及装置、车辆及存储介质 |
-
2022
- 2022-09-13 CN CN202211106709.0A patent/CN115186306B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6850497B1 (en) * | 1995-09-19 | 2005-02-01 | Mobile Satellite Ventures, Lp | Satellite trunked radio service system |
CN110023941A (zh) * | 2016-12-29 | 2019-07-16 | 华为技术有限公司 | 一种实现安全操作系统切换的片上系统和方法 |
CN109348470A (zh) * | 2018-09-10 | 2019-02-15 | 中国联合网络通信集团有限公司 | 业务切换方法、终端、网络服务器及存储介质 |
CN110505655A (zh) * | 2018-09-10 | 2019-11-26 | 深圳市文鼎创数据科技有限公司 | 数据指令处理方法、存储介质及蓝牙盾 |
EP3696759A1 (en) * | 2019-02-15 | 2020-08-19 | Nxp B.V. | Method of managing priority in the context of a secure element domain with multiple interfaces, electronic device and communication system |
CN111586651A (zh) * | 2019-02-15 | 2020-08-25 | 恩智浦有限公司 | 在上下文中管理优先级的方法、电子装置和通信系统 |
CN110543348A (zh) * | 2019-09-06 | 2019-12-06 | 北京奇艺世纪科技有限公司 | 一种指令处理方法、系统、电子设备和存储介质 |
CN110737453A (zh) * | 2019-10-17 | 2020-01-31 | 北京智芯微电子科技有限公司 | 安全芯片的升级方法、装置及安全芯片 |
CN113094305A (zh) * | 2021-04-02 | 2021-07-09 | 北京黑蚁兄弟科技有限公司 | 一种异步通信处理方法、装置和存储介质 |
CN113326012A (zh) * | 2021-06-01 | 2021-08-31 | 深圳市泰衡诺科技有限公司 | 处理方法、移动终端及存储介质 |
CN113886297A (zh) * | 2021-09-27 | 2022-01-04 | 北京中电华大电子设计有限责任公司 | 一种基于dma的spi并发通讯se装置及方法 |
CN114356547A (zh) * | 2021-12-07 | 2022-04-15 | 北京百度网讯科技有限公司 | 基于处理器虚拟化环境的低优阻塞方法及装置 |
CN114499958A (zh) * | 2021-12-24 | 2022-05-13 | 东软睿驰汽车技术(沈阳)有限公司 | 控制方法及装置、车辆及存储介质 |
Non-Patent Citations (1)
Title |
---|
宗思洁: "面向IoT芯片的安全启动分析与实现" * |
Also Published As
Publication number | Publication date |
---|---|
CN115186306B (zh) | 2023-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3402294B1 (en) | Random access method, random access device, and terminal | |
CN104159329B (zh) | 一种移动终端及其使用方法 | |
EP3952503A1 (en) | Method and device for sharing channel occupation time | |
US9521691B2 (en) | Wireless communication device and method | |
US8469267B2 (en) | Method for implementing a wireless personal communication protocol for an IC card | |
CN109565680A (zh) | 资源调度的方法、终端设备和网络设备 | |
EP3016342B1 (en) | Mobile device, method for facilitating a transaction, computer program, article of manufacture | |
CN115186306B (zh) | 指令处理方法、装置、安全单元、终端设备及存储介质 | |
CN114424647A (zh) | 激活传输资源配置的方法和装置 | |
EP2870787B1 (en) | Method to disable a network access application in a secure element | |
EP3780869A1 (en) | Method and user equipment of performing resource switching in unlicensed spectrum | |
CN108174454B (zh) | 一种信息处理的方法及装置 | |
CN113498072B (zh) | Pdcch候选和非重叠cce的监听个数的确定方法、装置以及设备 | |
CN105224484B (zh) | 在身份认证设备中实现多接口应用的方法和装置 | |
CN111586651B (zh) | 在上下文中管理优先级的方法、电子装置和通信系统 | |
CN110944401B (zh) | 随机接入方法、终端设备及网络设备 | |
CN112203338A (zh) | 一种无线终端的连网方法及装置 | |
CN101959297A (zh) | 一种应用在通讯系统的传输功率调整方法及其装置 | |
CN113810909A (zh) | 信道分配方法及装置、存储介质 | |
CN106788610B (zh) | 一种近距离通信的控制方法、装置及移动终端 | |
CN113365257B (zh) | 主从耳机切换方法、装置、耳机及可读存储介质 | |
CN110213085B (zh) | 移动终端nfc配置参数的设置方法、储存介质及终端 | |
CN114070721B (zh) | 模组信息的确定方法、终端及存储介质 | |
KR101136456B1 (ko) | 모바일 단말 어플리케이션과 스마트 카드 사이의 통신 채널관리 장치 및 방법 | |
CN108012284B (zh) | 一种拨号上网的方法和终端设备以及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |