The invention provides an access control method, a terminal, a smart card, a background server and a storage medium. The access control method includes: the middleware of the client application will send the card identification information of the smart card connected by non-contact channel communication to the background server, and then send the online authentication request to the smart card based on the first random number returned by the background server. The middleware receives and sends the second random number returned by the smart card and the card authentication parameters generated by the first random number to the back-end server. The back-end server verifies the card authentication parameters and generates the external authentication parameters based on the second random number. Then it sends them to the smart card through the middleware for authentication of the external authentication parameters. In the smart card, the authentication of the external authentication parameters is also passed. At the same time, the normal access to smart card by client application is established. The two-way authentication ensures the legitimacy of client applications accessing smart cards through non-contact channels, and effectively improves the security of the card communication.
【技术实现步骤摘要】
访问控制方法、终端、智能卡、后台服务器及存储介质
本专利技术涉及移动通信
,尤其涉及一种访问控制方法、终端、智能卡、后台服务器及存储介质。
技术介绍
随着技术的不断演进,蓝牙(Bluetooth)通信等许多无线通信技术被集成到SIM(SubscriberIdentityModule,客户识别模块)卡、USIM(UniversalSubscriberIdentityModule,全球用户识别模块)卡、UIM(UserIdentityModule,用户识别模块)卡和SD卡(SecureDigitalMemoryCard,安全数字存储卡)等智能卡中,使得手机等终端可以通过蓝牙等非接触连接方式与智能卡通信,从而打通了终端与智能卡之间的机卡高速数据通道,使得智能卡不仅提供电信功能,还可以通过蓝牙等通道支持各种新的应用的下载与运行,摆脱了基带芯片和操作系统对智能卡访问的限制;另一方面,终端可通过应用程序来访问智能卡中的安全元件(SE)来完成数据加密/解密,签名/验签等安全操作,从而提升应用程序的安全性。由于智能卡存储了越来越多的非常重要的个人化数据,因此必须向用户提供必要的手段来对智能卡中存储的数据进行访问、更新等管理,为此需要通过机卡接口进行实现,然而与普通智能卡在7816接口上的访问控制措施相比,目前应用程序通过非接触方式访问如蓝牙智能卡等智能卡时,尚不具备成熟、标准的接口来实现机卡通信,从而终端厂家只有开放终端操作系统的机卡接口,以供应用程序访问,但是在这种情况下,应用程序虽然能够很方便的访问智能卡,但是会存在很大的安全隐患,如非法应用程序通过机卡接口对智 ...
【技术保护点】
1.一种访问控制方法,其特征在于,所述访问控制方法包括:终端在所述终端上的客户端应用请求访问智能卡时,确定与所述客户端应用的中间件通过非接触通道通信连接的所述智能卡的卡标识信息,并通过所述中间件发送至后台服务器;所述终端在所述中间件接收到所述后台服务器返回的第一随机数时,控制所述中间件向所述智能卡发送在线认证请求;所述在线认证请求包括所述客户端应用的应用标识信息以及所述第一随机数;所述终端在所述中间件接收到所述智能卡返回的第二随机数以及基于所述第一随机数生成的卡鉴权参数时,控制所述中间件将所述卡鉴权参数以及所述第二随机数发送至所述后台服务器,以使所述后台服务器对所述卡鉴权参数进行认证;所述终端在所述中间件接收到所述后台服务器对所述卡鉴权参数认证通过,而发送过来的基于所述第二随机数生成的外部鉴权参数时,控制所述中间件将所述外部鉴权参数发送至所述智能卡,以使所述智能卡对所述外部鉴权参数进行认证;所述终端在所述中间件接收到所述智能卡对所述外部鉴权参数认证通过而发送过来的在线认证通过响应时,建立所述客户端应用对所述智能卡的正常访问。
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述访问控制方法包括:终端在所述终端上的客户端应用请求访问智能卡时,确定与所述客户端应用的中间件通过非接触通道通信连接的所述智能卡的卡标识信息,并通过所述中间件发送至后台服务器;所述终端在所述中间件接收到所述后台服务器返回的第一随机数时,控制所述中间件向所述智能卡发送在线认证请求;所述在线认证请求包括所述客户端应用的应用标识信息以及所述第一随机数;所述终端在所述中间件接收到所述智能卡返回的第二随机数以及基于所述第一随机数生成的卡鉴权参数时,控制所述中间件将所述卡鉴权参数以及所述第二随机数发送至所述后台服务器,以使所述后台服务器对所述卡鉴权参数进行认证;所述终端在所述中间件接收到所述后台服务器对所述卡鉴权参数认证通过,而发送过来的基于所述第二随机数生成的外部鉴权参数时,控制所述中间件将所述外部鉴权参数发送至所述智能卡,以使所述智能卡对所述外部鉴权参数进行认证;所述终端在所述中间件接收到所述智能卡对所述外部鉴权参数认证通过而发送过来的在线认证通过响应时,建立所述客户端应用对所述智能卡的正常访问。2.如权利要求1所述的访问控制方法,其特征在于,在建立所述客户端应用对所述智能卡的正常访问之后,还包括:基于所述外部鉴权参数以及所述应用标识信息生成外部认证记录;对所述外部认证记录进行保存。3.如权利要求2所述的访问控制方法,其特征在于,还包括:在所述客户端应用再次请求访问所述智能卡时,控制所述中间件向所述智能卡发送离线认证请求;所述离线认证请求包括所述应用标识信息;在所述中间件接收到所述智能卡返回的第三随机数时,基于所述外部认证记录与所述第三随机数生成离线认证鉴权参数;控制所述中间件将所述离线认证鉴权参数发送至所述智能卡,以使所述智能卡基于所保存的所述外部认证记录对所述离线认证鉴权参数进行认证;在所述中间件接收到所述智能卡对所述离线认证鉴权参数认证通过而发送过来的离线认证通过响应时,建立所述客户端应用对所述智能卡的正常访问。4.如权利要求2所述的访问控制方法,其特征在于,在对所述外部认证记录进行保存之后,还包括:确定当前所累积的认证次数;对所述认证次数进行保存。5.如权利要求1至4中任一项所述的访问控制方法,其特征在于,所述智能卡为蓝牙智能卡。6.一种访问控制方法,其特征在于,所述访问控制方法包括:智能卡通过非接触通道接收到终端上的客户端应用的中间件发送过来的在线认证请求;所述在线认证请求包括所述客户端应用的应用标识信息,以及所述终端将所确定的所述智能卡的卡标识信息通过所述中间件发送至后台服务器后所获取的第一随机数;所述智能卡基于所述第一随机数生成卡鉴权参数,并将所述卡鉴权参数以及所生成的第二随机数发送至所述中间件;所述智能卡接收到所述中间件将所述卡鉴权参数以及所述第二随机数发送至所述后台服务器之后,所述后台服务器对所述卡鉴权参数认证通过而经过所述中间件发送过来的基于所述第二随机数生成的外部鉴权参数时,对所述外部鉴权参数进行认证;所述智能卡在对所述外部鉴权参数认证通过时,向所述中间件发送在线认证通过响应,而允许所述终端上的所述客户端应用的正常访问。7.如权利要求6所述的访问控制方法,其特征在于,在智能卡通过非接触通道接收到终端上的客户端应用的中间件发送过来的在线认证请求之前,还包括:检测在预设的时间周期内是否未接收到所述在线认证请求;若是,则断开通过非接触通道与所述终端的通信连接。8.如权利要求6所述的访问控制方法,其特征在于,所述智能卡基于...
【专利技术属性】
技术研发人员:孙迎彤,虞欢,李菲菲,任昉,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。