【技术实现步骤摘要】
机卡接口的安全访问控制方法与系统、手机终端
本专利技术涉及通信技术,尤其是一种机卡接口的安全访问控制方法与系统、手机终端。
技术介绍
机卡接口是指手机终端(也称为:移动终端或手机)与智能卡之间的通信接口,用于实现手机终端对于智能卡存储数据的访问。其中的智能卡例如用户身份识别卡(subscriberidentitymodule,SIM卡)。随着移动互联网及无线射频识别(radiofrequencyidentificationdevices,RFID)技术的发展,智能卡由于具有安全数据存储及RFID能力,因此在移动互联网应用中发挥着越来越重要的作用,可广泛应用于移动远程支付、近场支付、移动办公、移动电子商务等业务中。由于智能卡存储了越来越多的非常重要的个人化数据,在RFID、远程支付等业务领域有越来越广泛的应用,因此必须向用户提供必要的手段对智能卡中存储的数据进行访问、更新等管理,为此需要通过机卡接口进行实现。例如,在目前最热门的移动支付应用上,应用方希望能够通过客户端应用软件(也称为:客户端应用软件程序)方式对SIM卡上的RFID钱包进行管理,查询钱包余额、交易记录、空中充值等。再如,在手机银行领域的应用上,银行方希望能够将SIM卡实现类似于U盾(也称为:数字证书USBkey)的功能,在SIM卡上存储数字证书,并通过手机客户端应用软件与SIM卡之间的交互,完成用户的帐户管理及安全支付。目前基于安全性差及缺乏相关应用等原因,手机终端所支持的对SIM卡的访问接口非常有限,只能提供短信、电话本、用户识别应用发展工具(SIMCardToolKit,STK)、部分通信 ...
【技术保护点】
一种机卡接口的安全访问控制方法,其特征在于,包括:客户端应用软件需要调用机卡接口访问用户身份识别单元中的应用时,安全应用中间件单元截获客户端应用软件发送的访问请求,该访问请求中包括所述客户端应用软件的个性化参数的数字签名信息与用于唯一标识所述应用的应用标识AID,所述个性化参数包括客户端应用软件的名称与唯一标识所述客户端应用软件的软件标识ID;其中,所述数字签名信息包括由一个预先申请的数字证书包括的公私密钥对中的私钥对客户端应用软件的个性化参数进行数字签名得到的加密数据与所述个性化参数;安全应用中间件单元从所述用户身份识别单元中读取所述公私密钥对中的公钥,并利用所述公钥对所述数字签名信息中的加密数据进行解密;安全应用中间件单元比较解密得到的个性化参数与所述数字签名信息中直接携带的个性化参数是否一致;响应于解密得到的个性化参数与所述数字签名信息中直接携带的个性化参数一致,打开机卡接口,允许所述客户端应用软件调用机卡接口对用户身份识别单元中所述AID标识的应用进行访问;否则,响应于解密得到的个性化参数与所述数字签名信息中直接携带的个性化参数不一致,拒绝所述客户端应用软件调用所述机卡接口。
【技术特征摘要】
1.一种机卡接口的安全访问控制方法,其特征在于,包括:客户端应用软件需要调用机卡接口访问用户身份识别单元中的应用时,安全应用中间件单元截获客户端应用软件发送的访问请求,该访问请求中包括所述客户端应用软件的个性化参数的数字签名信息与用于唯一标识所述应用的应用标识AID,所述个性化参数包括客户端应用软件的名称与唯一标识所述客户端应用软件的软件标识ID;其中,所述数字签名信息包括由一个预先申请的数字证书包括的公私密钥对中的私钥对客户端应用软件的个性化参数进行数字签名得到的加密数据与所述个性化参数;安全应用中间件单元从所述用户身份识别单元中读取所述公私密钥对中的公钥,并利用所述公钥对所述数字签名信息中的加密数据进行解密;安全应用中间件单元比较解密得到的个性化参数与所述数字签名信息中直接携带的个性化参数是否一致;响应于解密得到的个性化参数与所述数字签名信息中直接携带的个性化参数一致,打开机卡接口,允许所述客户端应用软件调用机卡接口对用户身份识别单元中所述AID标识的应用进行访问;否则,响应于解密得到的个性化参数与所述数字签名信息中直接携带的个性化参数不一致,拒绝所述客户端应用软件调用所述机卡接口;其中,允许所述客户端应用软件调用机卡接口对用户身份识别单元中所述AID标识的应用进行访问之后,所述方法还包括:客户端应用软件调用机卡接口向访问请求中AID标识的应用发送访问指令时,安全应用中间件单元截获所述访问指令,并识别用户身份识别单元中预先设置的指令表是否包括所述访问指令的指令头,所述指令表包括了用户身份识别单元中各应用的AID与授权客户端应用软件访问各应用的访问指令的指令头;响应于用户身份识别单元中预先设置的指令表包括所述访问指令的指令头,允许所述客户端应用软件调用机卡接口向访问请求中AID标识的应用发送访问指令;否则,响应于用户身份识别单元中预先设置的指令表不包括所述访问指令的指令头,拒绝所述客户端应用软件调用所述机卡接口发送访问指令。2.根据权利要求1所述的方法,其特征在于,还包括:运营商将预先申请的数字证书包括的公私密钥对中的私钥存储在运营商的用户身份认证系统中,将所述公私密钥对中的公钥写入所述用户身份识别单元中;客户端应用软件在通过运营商审核后,运营商利用所述公私密钥对中的私钥对客户端应用软件的个性化参数进行数字签名,并将数字签名得到的加密数据与所述个性化参数合并得到所述个性化参数的数字签名信息。3.根据权利要求1所述的方法,其特征在于,允许所述客户端应用软件调用机卡接口向访问请求中AID标识的应用发送访问指令之后,还包括:客户端应用软件调用机卡接口发送文件操作请求,所述文件操作请求中包括客户端应用软件请求操作的文件的文件名与操作类型信息;安全应用中间件单元截获所述文件操作请求,并查询所述文件操作请求中的文件名是否存在于预先存储的文件列表中,所述文件列表包括禁止客户端应用软件访问的通信数据文件的文件名;响应于所述文件操作请求中的文件名未存在于预先存储的文件列表中,安全应用中间件单元允许所述客户端应用软件调用机卡接口对请求操作的文件进行所述操作类型对应的操作;否则,响应于所述文件操作请求中的文件名存在于预先存储的文件列表中,安全应用中间件单元拒绝所述客户端应用软件调用机卡接口。4.根据权利要求3所述的方法,其特征在于,还包括:安全应用中间件单元预先从用户身份识别单元中读取所述文件列表并将读取的所述文件列表存储在所述安全应用中间件单元中。5.根据权利要求1至4任意一项所述的方法,其特征在于,所述用户身份识别单元包括:用户身份识别SIM卡、用户识别模块UIM卡或者通用用户身份模块USIM卡。6.一种机卡接口的安全访问控制系统,其特征在于,包括用户身份识别单元、机卡接口与安全应用中间件单元;所述机卡接口,用于作为客户端应用软件访问用户身份识别单元的接口...
【专利技术属性】
技术研发人员:张湘东,雷红嘉,张文安,谢云,黄泽龙,李洪波,李庆艳,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。