访问控制方法、终端、智能卡、后台服务器及存储介质技术

技术编号:20494892 阅读:25 留言:0更新日期:2019-03-03 00:08
本发明专利技术提供了一种访问控制方法、终端、智能卡、后台服务器及存储介质,该访问控制方法包括:客户端应用的中间件将通过非接触通道通信连接的智能卡的卡标识信息发送至后台服务器,然后基于后台服务器返回的第一随机数生成在线认证请求而发送至智能卡,中间件接收并发送智能卡返回的第二随机数和基于第一随机数生成的卡鉴权参数至后台服务器,后台服务器对卡鉴权参数验证通过而基于第二随机数生成外部鉴权参数,然后通过中间件发送至智能卡进行外部鉴权参数的认证,在智能卡对外部鉴权参数的认证也通过时,建立客户端应用对智能卡的正常访问。通过双向认证保证了客户端应用通过非接触式通道访问智能卡的合法性,有效提升了机卡通信的安全性。

Access Control Method, Terminal, Smart Card, Background Server and Storage Media

The invention provides an access control method, a terminal, a smart card, a background server and a storage medium. The access control method includes: the middleware of the client application will send the card identification information of the smart card connected by non-contact channel communication to the background server, and then send the online authentication request to the smart card based on the first random number returned by the background server. The middleware receives and sends the second random number returned by the smart card and the card authentication parameters generated by the first random number to the back-end server. The back-end server verifies the card authentication parameters and generates the external authentication parameters based on the second random number. Then it sends them to the smart card through the middleware for authentication of the external authentication parameters. In the smart card, the authentication of the external authentication parameters is also passed. At the same time, the normal access to smart card by client application is established. The two-way authentication ensures the legitimacy of client applications accessing smart cards through non-contact channels, and effectively improves the security of the card communication.

【技术实现步骤摘要】
访问控制方法、终端、智能卡、后台服务器及存储介质
本专利技术涉及移动通信
,尤其涉及一种访问控制方法、终端、智能卡、后台服务器及存储介质。
技术介绍
随着技术的不断演进,蓝牙(Bluetooth)通信等许多无线通信技术被集成到SIM(SubscriberIdentityModule,客户识别模块)卡、USIM(UniversalSubscriberIdentityModule,全球用户识别模块)卡、UIM(UserIdentityModule,用户识别模块)卡和SD卡(SecureDigitalMemoryCard,安全数字存储卡)等智能卡中,使得手机等终端可以通过蓝牙等非接触连接方式与智能卡通信,从而打通了终端与智能卡之间的机卡高速数据通道,使得智能卡不仅提供电信功能,还可以通过蓝牙等通道支持各种新的应用的下载与运行,摆脱了基带芯片和操作系统对智能卡访问的限制;另一方面,终端可通过应用程序来访问智能卡中的安全元件(SE)来完成数据加密/解密,签名/验签等安全操作,从而提升应用程序的安全性。由于智能卡存储了越来越多的非常重要的个人化数据,因此必须向用户提供必要的手段来对智能卡中存储的数据进行访问、更新等管理,为此需要通过机卡接口进行实现,然而与普通智能卡在7816接口上的访问控制措施相比,目前应用程序通过非接触方式访问如蓝牙智能卡等智能卡时,尚不具备成熟、标准的接口来实现机卡通信,从而终端厂家只有开放终端操作系统的机卡接口,以供应用程序访问,但是在这种情况下,应用程序虽然能够很方便的访问智能卡,但是会存在很大的安全隐患,如非法应用程序通过机卡接口对智能卡发动攻击等,为此,业内亟需一种安全的访问控制策略来为应用程序对智能卡的访问提供安全保障。
技术实现思路
本专利技术提供了一种访问控制方法、终端、智能卡、后台服务器及存储介质,以解决现有技术中在应用程序通过非接触方式访问智能卡时,尚不具备成熟、标准的接口来实现机卡通信,所导致的机卡通信安全隐患较大的技术问题。为了解决上述技术问题,本专利技术采用以下技术方案:本专利技术提供了一种访问控制方法,该访问控制方法包括:终端在终端上的客户端应用请求访问智能卡时,确定与客户端应用的中间件通过非接触通道通信连接的智能卡的卡标识信息,并通过中间件发送至后台服务器;终端在中间件接收到后台服务器返回的第一随机数时,控制中间件向智能卡发送在线认证请求;在线认证请求包括客户端应用的应用标识信息以及第一随机数;终端在中间件接收到智能卡返回的第二随机数以及基于第一随机数生成的卡鉴权参数时,控制中间件将卡鉴权参数以及第二随机数发送至后台服务器,以使后台服务器对卡鉴权参数进行认证;终端在中间件接收到后台服务器对卡鉴权参数认证通过,而发送过来的基于第二随机数生成的外部鉴权参数时,控制中间件将外部鉴权参数发送至智能卡,以使智能卡对外部鉴权参数进行认证;终端在中间件接收到智能卡对外部鉴权参数认证通过而发送过来的在线认证通过响应时,建立客户端应用对智能卡的正常访问。进一步地,在建立客户端应用对智能卡的正常访问之后,还包括:基于外部鉴权参数以及应用标识信息生成外部认证记录;对外部认证记录进行保存。进一步地,还包括:在客户端应用再次请求访问智能卡时,控制中间件向智能卡发送离线认证请求;离线认证请求包括应用标识信息;在中间件接收到智能卡返回的第三随机数时,基于外部认证记录与第三随机数生成离线认证鉴权参数;控制中间件将离线认证鉴权参数发送至智能卡,以使智能卡基于所保存的外部认证记录对离线认证鉴权参数进行认证;在中间件接收到智能卡对离线认证鉴权参数认证通过而发送过来的离线认证通过响应时,建立客户端应用对智能卡的正常访问。进一步地,在对外部认证记录进行保存之后,还包括:确定当前所累积的认证次数;对认证次数进行保存。更进一步地,智能卡为蓝牙智能卡。本专利技术还提供了一种访问控制方法,该访问控制方法包括:智能卡通过非接触通道接收到终端上的客户端应用的中间件发送过来的在线认证请求;在线认证请求包括客户端应用的应用标识信息,以及终端将所确定的智能卡的卡标识信息通过中间件发送至后台服务器后所获取的第一随机数;智能卡基于第一随机数生成卡鉴权参数,并将卡鉴权参数以及所生成的第二随机数发送至中间件;智能卡接收到中间件将卡鉴权参数以及第二随机数发送至后台服务器之后,后台服务器对卡鉴权参数认证通过而经过中间件发送过来的基于第二随机数生成的外部鉴权参数时,对外部鉴权参数进行认证;智能卡在对外部鉴权参数认证通过时,向中间件发送在线认证通过响应,而允许终端上的客户端应用的正常访问。进一步地,在智能卡通过非接触通道接收到终端上的客户端应用的中间件发送过来的在线认证请求之前,还包括:检测在预设的时间周期内是否未接收到在线认证请求;若是,则断开通过非接触通道与终端的通信连接。进一步地,智能卡基于第一随机数生成卡鉴权参数包括:智能卡通过第一密钥对第一随机数进行加密而生成卡鉴权参数;对外部鉴权参数进行认证包括:通过第一密钥,对后台服务器根据根秘钥以及卡标识信息分散出的第二密钥加密第二随机数所生成的外部鉴权参数进行解密;第一密钥与第二密钥为对称密钥;通过第二随机数对解密出的随机数进行比对认证。进一步地,智能卡为蓝牙智能卡。更进一步地,在向中间件发送认证通过响应之后,还包括:基于外部鉴权参数以及应用标识信息生成外部认证记录;对外部认证记录进行保存。进一步地,还包括:当接收到中间件发送过来的离线认证请求时,生成第三随机数,并将第三随机数返回至中间件;离线认证请求包括应用标识信息;接收中间件发送过来的基于所存储的外部认证记录以及第三随机数所生成离线认证鉴权参数;根据自身所保存的外部认证记录对离线认证鉴权参数进行认证;在对离线认证鉴权参数认证通过时,向中间件发送离线认证通过响应,而允许终端上的客户端应用的正常访问。本专利技术还提供了一种访问控制方法,该访问控制方法包括:后台服务器接收终端在客户端应用请求访问智能卡,而由客户端应用的中间件发送过来的所确定的智能卡的卡标识信息时,生成第一随机数,并将第一随机数返回至中间件;后台服务器在接收到中间件发送过来的、由智能卡生成的第二随机数以及基于第一随机数生成的卡鉴权参数时,对卡鉴权参数进行认证;后台服务器在对卡鉴权参数认证通过时,基于第二随机数生成外部鉴权参数,并将外部鉴权参数发送至中间件,以使中间件将外部鉴权参数发送至智能卡进行认证。进一步地,本专利技术还提供了一种终端,该终端包括第一处理器、第一存储器、第一通信总线;第一通信总线用于实现第一处理器和第一存储器之间的连接通信;第一处理器用于执行第一存储器中存储的一个或者多个程序,以实现上述应用于终端的访问控制方法的步骤。进一步地,本专利技术还提供了一种智能卡,该智能卡包括第二处理器、第二存储器、第二通信总线;第二通信总线用于实现第二处理器和第二存储器之间的连接通信;第二处理器用于执行第二存储器中存储的一个或者多个程序,以实现上述应用于智能卡的访问控制方法的步骤。进一步地,本专利技术还提供了一种后台服务器,该后台服务器包括第三处理器、第三存储器、第三通信总线;第三通信总线用于实现第三处理器和第三存储器之间的连接通信;第三处理器用于执行第三存储器中存储的一个或者多个程序,以实现上述本文档来自技高网
...

【技术保护点】
1.一种访问控制方法,其特征在于,所述访问控制方法包括:终端在所述终端上的客户端应用请求访问智能卡时,确定与所述客户端应用的中间件通过非接触通道通信连接的所述智能卡的卡标识信息,并通过所述中间件发送至后台服务器;所述终端在所述中间件接收到所述后台服务器返回的第一随机数时,控制所述中间件向所述智能卡发送在线认证请求;所述在线认证请求包括所述客户端应用的应用标识信息以及所述第一随机数;所述终端在所述中间件接收到所述智能卡返回的第二随机数以及基于所述第一随机数生成的卡鉴权参数时,控制所述中间件将所述卡鉴权参数以及所述第二随机数发送至所述后台服务器,以使所述后台服务器对所述卡鉴权参数进行认证;所述终端在所述中间件接收到所述后台服务器对所述卡鉴权参数认证通过,而发送过来的基于所述第二随机数生成的外部鉴权参数时,控制所述中间件将所述外部鉴权参数发送至所述智能卡,以使所述智能卡对所述外部鉴权参数进行认证;所述终端在所述中间件接收到所述智能卡对所述外部鉴权参数认证通过而发送过来的在线认证通过响应时,建立所述客户端应用对所述智能卡的正常访问。

【技术特征摘要】
1.一种访问控制方法,其特征在于,所述访问控制方法包括:终端在所述终端上的客户端应用请求访问智能卡时,确定与所述客户端应用的中间件通过非接触通道通信连接的所述智能卡的卡标识信息,并通过所述中间件发送至后台服务器;所述终端在所述中间件接收到所述后台服务器返回的第一随机数时,控制所述中间件向所述智能卡发送在线认证请求;所述在线认证请求包括所述客户端应用的应用标识信息以及所述第一随机数;所述终端在所述中间件接收到所述智能卡返回的第二随机数以及基于所述第一随机数生成的卡鉴权参数时,控制所述中间件将所述卡鉴权参数以及所述第二随机数发送至所述后台服务器,以使所述后台服务器对所述卡鉴权参数进行认证;所述终端在所述中间件接收到所述后台服务器对所述卡鉴权参数认证通过,而发送过来的基于所述第二随机数生成的外部鉴权参数时,控制所述中间件将所述外部鉴权参数发送至所述智能卡,以使所述智能卡对所述外部鉴权参数进行认证;所述终端在所述中间件接收到所述智能卡对所述外部鉴权参数认证通过而发送过来的在线认证通过响应时,建立所述客户端应用对所述智能卡的正常访问。2.如权利要求1所述的访问控制方法,其特征在于,在建立所述客户端应用对所述智能卡的正常访问之后,还包括:基于所述外部鉴权参数以及所述应用标识信息生成外部认证记录;对所述外部认证记录进行保存。3.如权利要求2所述的访问控制方法,其特征在于,还包括:在所述客户端应用再次请求访问所述智能卡时,控制所述中间件向所述智能卡发送离线认证请求;所述离线认证请求包括所述应用标识信息;在所述中间件接收到所述智能卡返回的第三随机数时,基于所述外部认证记录与所述第三随机数生成离线认证鉴权参数;控制所述中间件将所述离线认证鉴权参数发送至所述智能卡,以使所述智能卡基于所保存的所述外部认证记录对所述离线认证鉴权参数进行认证;在所述中间件接收到所述智能卡对所述离线认证鉴权参数认证通过而发送过来的离线认证通过响应时,建立所述客户端应用对所述智能卡的正常访问。4.如权利要求2所述的访问控制方法,其特征在于,在对所述外部认证记录进行保存之后,还包括:确定当前所累积的认证次数;对所述认证次数进行保存。5.如权利要求1至4中任一项所述的访问控制方法,其特征在于,所述智能卡为蓝牙智能卡。6.一种访问控制方法,其特征在于,所述访问控制方法包括:智能卡通过非接触通道接收到终端上的客户端应用的中间件发送过来的在线认证请求;所述在线认证请求包括所述客户端应用的应用标识信息,以及所述终端将所确定的所述智能卡的卡标识信息通过所述中间件发送至后台服务器后所获取的第一随机数;所述智能卡基于所述第一随机数生成卡鉴权参数,并将所述卡鉴权参数以及所生成的第二随机数发送至所述中间件;所述智能卡接收到所述中间件将所述卡鉴权参数以及所述第二随机数发送至所述后台服务器之后,所述后台服务器对所述卡鉴权参数认证通过而经过所述中间件发送过来的基于所述第二随机数生成的外部鉴权参数时,对所述外部鉴权参数进行认证;所述智能卡在对所述外部鉴权参数认证通过时,向所述中间件发送在线认证通过响应,而允许所述终端上的所述客户端应用的正常访问。7.如权利要求6所述的访问控制方法,其特征在于,在智能卡通过非接触通道接收到终端上的客户端应用的中间件发送过来的在线认证请求之前,还包括:检测在预设的时间周期内是否未接收到所述在线认证请求;若是,则断开通过非接触通道与所述终端的通信连接。8.如权利要求6所述的访问控制方法,其特征在于,所述智能卡基于...

【专利技术属性】
技术研发人员:孙迎彤虞欢李菲菲任昉
申请(专利权)人:国民技术股份有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1