The invention provides an access control method, device and system, wherein, the access control method includes: second validation parameters corresponding to the first validation parameters and the first application to get the corresponding object, using the first verification parameter and the second parameter verification, to determine whether the first application has access to the the target object, in the judgment of the first application has access to the target object, allowing the first application to access the object, or refuse the first application to access the target object. The scheme of the invention can conveniently realize the authentication of LPA existing in the form of application programs, and only allows the application LPA to access the target object only when the application LPA has access to the target object, so as to achieve secure communication.
【技术实现步骤摘要】
一种访问控制方法、装置及系统
本专利技术涉及终端
,尤其涉及一种访问控制方法、装置及系统。
技术介绍
通常,嵌入式通用集成电路卡(EmbeddedUniversalIntegratedCircuitCard,简称eUICC)嵌入电子设备例如汽车、手表、手机等中使用,对eUICC的需求为可以预置/动态下载配置文件Profile、可以在不用Profile间切换等。在现有eUICC系统架构中,参见图1所示,设备商将本地配置文件助理(LocalProfileAssistant,简称LPA)功能集成在电子设备的操作系统(OperatingSystem,简称OS)中,为用户提供Profile操作界面,连通签约管理服务器和eUICC,所述签约管理服务器用于订阅管理和数据准备。并且,LPA通过本地接口与eUICC上的LPA服务器进行通信,以创建、激活/去活、删除Profile。而ISD-P是Profile在eUICC上的存在方式,不同签约管理服务器(图1中SM-DP)提供的Profile在eUICC上对应不同的ISD-P,相互之间安全隔离。需要说明的是,在图1中,实线代表实际的物理通道,虚线连接的是具有数据/指令传输的两个对象。然而,现有技术的eUICC系统架构存在着由于LPA集成在电子设备的OS中导致较难验证的问题。
技术实现思路
本专利技术的目的在于提供一种访问控制方法、装置及系统,以解决现有的由于LPA集成在电子设备的OS中导致较难验证的问题。为了实现上述的目的,本专利技术提供一种访问控制方法,所述方法包括:获取目标对象对应的第一验证参数和第一应用程序对应的第二验 ...
【技术保护点】
一种访问控制方法,其特征在于,所述方法包括:获取目标对象对应的第一验证参数和第一应用程序对应的第二验证参数;利用所述第一验证参数和所述第二验证参数,判断所述第一应用程序是否具有访问所述目标对象的权限;在判断出所述第一应用程序具有访问所述目标对象的权限时,允许所述第一应用程序访问所述目标对象,否则拒绝所述第一应用程序访问所述目标对象。
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:获取目标对象对应的第一验证参数和第一应用程序对应的第二验证参数;利用所述第一验证参数和所述第二验证参数,判断所述第一应用程序是否具有访问所述目标对象的权限;在判断出所述第一应用程序具有访问所述目标对象的权限时,允许所述第一应用程序访问所述目标对象,否则拒绝所述第一应用程序访问所述目标对象。2.根据权利要求1所述的方法,其特征在于,所述目标对象为安全芯片,在所述获取目标对象对应的第一验证参数和第一应用程序对应的第二验证参数的步骤之前,所述方法还包括:检测是否有应用程序请求访问所述安全芯片;所述获取目标对象对应的第一验证参数和第一应用程序对应的第二验证参数的步骤具体为:在检测到所述第一应用程序请求访问所述安全芯片时,获取所述安全芯片对应的第一验证参数和所述第一应用程序对应的第二验证参数。3.根据权利要求2所述的方法,其特征在于,所述方法用于电子设备,所述电子设备中设置有用于和所述安全芯片进行交互的应用程序编程接口;所述检测是否有应用程序请求访问所述安全芯片的步骤具体为:检测所述应用程序编程接口的调用情况,确定是否有应用程序请求访问所述安全芯片;所述在判断出所述第一应用程序具有访问所述目标对象的权限时,允许所述第一应用程序访问所述目标对象,否则拒绝所述第一应用程序访问所述目标对象步骤具体为:在判断出所述第一应用程序具有访问所述安全芯片的权限时,允许所述第一应用程序调用所述应用程序编程接口来访问所述安全芯片,否则拒绝所述第一应用程序调用所述应用程序编程接口来访问所述安全芯片。4.根据权利要求2所述的方法,其特征在于,所述第一验证参数为预先存储于所述安全芯片中的根证书,所述第二验证参数为所述第一应用程序提供的待验证证书。5.根据权利要求4所述的方法,其特征在于,所述预先存储于所述安全芯片中的根证书在电子设备启动过程中或在接收到验证参数获取请求时由所述安全芯片提供。6.根据权利要求5所述的方法,其特征在于,所述利用所述第一验证参数和所述第二验证参数,判断所述第一应用程序是否具有访问所述目标对象的权限的步骤具体包括:验证所述待验证证书是否是所述根证书签署的证书;在所述待验证证书是所述根证书签署的证书时,利用所述待验证证书验证所述第一应用程序的完整性;在验证出所述第一应用程序完整时,确定所述第一应用程序具有访问所述安全芯片的权限,否则确定所述第一应用程序不具有访问所述安全芯片的权限。7.根据权利要求2-6中任意一项所述的方法,其特征在于,所述安全芯片为嵌入式通用集成电路卡,所述第一应用程序为连接签约管理服务器和所述嵌入式通用集成电路卡,用于配置管理的应用程序。8.根据权利要求1所述的方法,其特征在于,所述目标对象为签约管理服务器,所述方法还包括:获取安全芯片发送的第三验证参数;根据所述第三验证参数,验证所述安全芯片;其中,所述第二验证参数是随同所述第三验证参数由所述安全芯片发送给所述签约管理服务器的,所述安全芯片从所述第一应用程序处获取所述第二验证参数。9.一种访问控制装置,其特征在于,所述装置包括:第一获取模块,用于获取目标对象对应的第一验证参数和第一应用程序对应的第二验证参数;判断模块,用于利用所述第一验证参数和所述第二验证参数,判断所述第一应用程序是否具有访问所述目标对象的权限;控制模块,用于在判断出所述第一应用程序具有访问所述目标对象的权限时,允许所述第一应用程序访问所述目标对象,否则拒绝所述第一应用程序访问所述目标对象。10.根据权利要求9所述的装置,其特征在于,所述目标对象为安全芯片,所述装置还包括:检测模块,用于检测是否有应用程序请求访问所述安全芯片;所述第一获取模块具体用于:在检测到所述第一应用程序请求访问所述安全芯片时,获取所述安全芯片对应的第一验证参数和所述第一应用程序对应的第二验证参数。11.根据权利要求10所述的装置,其特征在于,所述装置用于电子设备,所述电子设备中设置有用于和所述安全芯片进行交互的应用程序编程接口;所述检测模块具体用于:检测所述应用程序编程接口的调用情况,确定是否有应用程序请求访问所述安全芯片;所述控制模块具体用于:在判断出所述第一应用程序具有访问所述安全芯片的权限时,允许所述第一应用程序调用所述应用程序编程接口来访问所述安全芯片,否则拒绝所述第一应用程序调用所述应用程序编程接口来访问所述安全芯片。12.根据权利要求10所述的装置,其特征在于,所述第一验证参数为预先存储于所述安全芯片中的根证书,所述第二验证参数为所述第一应用程序提供的待验证证书。13.根据权利要求12所述的装置,其特征在于,所述预先存储于所述安全芯片中的根证书在电子设备启动过程中或在接收到验证参数...
【专利技术属性】
技术研发人员:乐祖晖,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。