本申请涉及通信技术领域,尤其涉及一种调用可信应用的方法及其系统,包括:可信应用一接收普通应用的访问请求;可信应用一判断所述普通应用的访问请求中是否存在对可信应用二的访问请求;如果存在对可信应用二的访问请求,则根据设置于可信执行环境中的所述可信应用二的访问控制权限列表,判断对所述可信应用二的访问请求的合法性;若判断结果合法,则访问所述可信应用二。本申请所提供的调用可信应用的方法及其系统需要根据访问控制列表属性判断访问请求的合法性,而访问控制列表属性具有多参数,因此就有效的提高了可信应用之间相互调用、访问的安全性,避免了被非法调用。
【技术实现步骤摘要】
一种调用可信应用的方法及其系统
本专利技术涉及通信
,尤其涉及一种调用可信应用的方法及其系统。
技术介绍
随着智能终端和移动网络技术的不断发展,各种应用的种类和数量越来越多,其中不乏会涉及到移动支付、安全存储等安全性要求较高的应用,为了这些应用中的敏感数据得到保护,GlobalPlatform(GP)提出了可信执行环境(Trustedexecutionenvironment,简称TEE)的概念,运行在TEE可信执行环境下的应用为可信应用(TrustedApps,TA)。随着TEE的广泛应用和不断发展,TA的种类和数量也逐渐增多,多TA应用同时并存和相互调用的情况也越来越多,仅仅依赖TEE提供的可信执行环境保障TA之间访问的安全性,安全性较低,因此,如何有效保证可信应用TA之间相互调用、访问的安全性是目前亟待解决的问题。
技术实现思路
本申请提供了一种调用可信应用的方法及系统,以提高可信应用之间相互调用、访问的安全性。为解决上述技术问题,本申请提供如下技术方案:一种调用可信应用的方法,其特征在于,包括如下步骤:可信应用一接收普通应用的访问请求;可信应用一判断所述普通应用的访问请求中是否存在对可信应用二的访问请求;如果存在对可信应用二的访问请求,则根据设置于可信执行环境中的所述可信应用二的访问控制权限列表,判断对所述可信应用二的访问请求的合法性;若判断结果合法,则访问所述可信应用二。如上所述的调用可信应用的方法,其中,优选的是,可信应用一接收普通应用的访问请求后还包括如下步骤:根据设置于可信执行环境中的所述可信应用一的访问控制权限列表,判断对所述普通应用的访问请求的合法性;若判断结果合法,则可信应用一允许普通应用访问。如上所述的调用可信应用的方法,其中,优选的是,所述对可信应用二的访问请求中携带所述可信应用二的标识和鉴权信息。如上所述的调用可信应用的方法,其中,优选的是,根据设置于可信执行环境中的访问控制权限列表,判断对所述可信应用二访问请求的合法性具体包括如下子步骤:解析对所述可信应用二的访问请求,获得可信应用二的标识和鉴权信息;根据获得的可信应用二的标识获取访问控制权限列表中的可信应用二的访问控制列表;根据获得的可信应用二的访问控制列表和所述鉴权信息判断对所述可信应用二访问请求的合法性。如上所述的调用可信应用的方法,其中,优选的是,所述鉴权信息包括访问优先级标识,所述可信应用二的访问控制列表包括访问优先级标识顺序列表,判断对所述可信应用二访问请求合法后还包括如下步骤:比较访问优先级标识与访问优先级标识顺序列表;判断对可信应用二访问请求的优先级;根据对可信应用二访问请求的优先级将对可信应用二的访问请求加入排队队列。一种调用可信应用的系统,包括:通信模块,用于可信应用一接收普通应用的访问请求;判断模块,用于可信应用一判断所述普通应用的访问请求中是否存在对可信应用二的访问请求;如果存在对可信应用二的访问请求,则根据设置于可信执行环境中的所述可信应用二的访问控制权限列表,判断对所述可信应用二的访问请求的合法性;执行模块,若判断结果合法,则访问所述可信应用二。如上所述的调用可信应用的系统,其中,优选的是,还包括:存储模块,用于存储访问控制权限列表。如上所述的调用可信应用的系统,其中,优选的是,判断模块根据获得的可信应用二的标识获取访问控制权限列表中的可信应用二的访问控制列表;根据获得的可信应用二的访问控制列表和所述鉴权信息判断对所述可信应用二访问请求的合法性。如上所述的调用可信应用的系统,其中,优选的是,还包括:访问请求管理模块,其中,判断模块,用于比较鉴权信息中的访问优先级标识与可信应用二的访问控制列表中的访问优先级标识顺序列表,判断对可信应用二访问请求的优先级;访问请求管理模块,用于根据对可信应用二访问请求的优先级将对可信应用二的访问请求加入排队队列。一种调用可信应用的设备,包括上述任一项所述的调用可信应用的系统。相对上述
技术介绍
,本申请所提供的调用可信应用的方法及其系统和设备需要根据访问控制列表属性判断访问请求的合法性,而访问控制列表属性具有多参数,因此就有效的提高了可信应用之间相互调用、访问的安全性,避免了被非法调用。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。图1是部署有非可信执行环境和可信执行环境的设备的概念性示意图;图2是本申请实施例一所提供的调用可信应用的示意图;图3是本申请实施例一所提供的调用可信应用的方法流程图;图4是本申请实施例一所提供的调用可信应用的方法判断普通应用访问请求合法性方法流程图;图5是本申请实施例一所提供的调用可信应用的方法判断对可信应用二访问请求合法性方法流程图;图6是本申请实施例一所提供的调用可信应用的方法判断优先级的方法流程图;图7是本申请实施例三所提供的调用可信应用的系统的结构示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本申请请求保护的移动设备上同时存在两个运行环境,如图1所示,包括普通的非可信执行环境(Richexecutionenvironment,简称REE)和可信执行环境(Trustedexecutionenvironment,简称TEE),其中在REE环境中包括各种普通应用CA(例如淘宝、京东、微信等),并运行普通操作系统,例如Andriod,在TEE环境中包括各种可信应用TA,并运行功能简单、代码量小、封闭的可信操作系统;当运行在REE中的CA需要执行一些安全性要求较高的命令(例如遇到支付等敏感操作)时,就要从REE中CA切换到TEE相应的TA完成相应操作,用户的密码、账号等信息均在TEE的环境下完成输入。随着各种各样客户端的出现,TA数量和种类也不断增多,但是每个TA会具有特定的一些功能,下面对TA编号加以区分不同的TA,例如:TA1、TA2、TA3、TA4……等多个TA,TA1可以具有账户信息存储、密码服务等功能,TA2可以具有指纹识别、虹膜识别等功能,TA3、TA4等可以具有其他的功能,当然也不限于上述情况,下面示例性的以两个TA(TA1、TA2)的情况说明本申请所提供的调用可信应用的方法及其系统,以提高可信应用之间相互调用、访问的安全性。实施例一如图2和图3所示,本申请提供了一种调用可信应用的方法,包括以下步骤:步骤S301、可信应用一接收普通应用的访问请求;运行于REE中的普通应用CA向运行于TEE中的可信应用一TA1发起访问请求,TA1接收CA的访问请求,该普通应用CA的访问请求中可以携带所述可信应用一TA1的标识和鉴权信息等,还可以携带对可信应用二的访问请求。在上述基础上,还可以对普通应用的访问请求合法性进行判断,具体判断过程如图4所示,包括如下步骤:步骤S401、根据设置于可信执行环境中的所述可信应用一的访问控制权限列表,判断对所述普通应用的本文档来自技高网...
【技术保护点】
一种调用可信应用的方法,其特征在于,包括如下步骤:可信应用一接收普通应用的访问请求;可信应用一判断所述普通应用的访问请求中是否存在对可信应用二的访问请求;如果存在对可信应用二的访问请求,则根据设置于可信执行环境中的所述可信应用二的访问控制权限列表,判断对所述可信应用二的访问请求的合法性;若判断结果合法,则访问所述可信应用二。
【技术特征摘要】
1.一种调用可信应用的方法,其特征在于,包括如下步骤:可信应用一接收普通应用的访问请求;可信应用一判断所述普通应用的访问请求中是否存在对可信应用二的访问请求;如果存在对可信应用二的访问请求,则根据设置于可信执行环境中的所述可信应用二的访问控制权限列表,判断对所述可信应用二的访问请求的合法性;若判断结果合法,则访问所述可信应用二。2.根据权利要求1所述的调用可信应用的方法,其特征在于,可信应用一接收普通应用的访问请求后还包括如下步骤:根据设置于可信执行环境中的所述可信应用一的访问控制权限列表,判断对所述普通应用的访问请求的合法性;若判断结果合法,则可信应用一允许普通应用访问。3.根据权利要求1所述的调用可信应用的方法,其特征在于,所述对可信应用二的访问请求中携带所述可信应用二的标识和鉴权信息。4.根据权利要求3所述的调用可信应用的方法,其特征在于,根据设置于可信执行环境中的访问控制权限列表,判断对所述可信应用二访问请求的合法性具体包括如下子步骤:解析对所述可信应用二的访问请求,获得可信应用二的标识和鉴权信息;根据获得的可信应用二的标识获取访问控制权限列表中的可信应用二的访问控制列表;根据获得的可信应用二的访问控制列表和所述鉴权信息判断对所述可信应用二访问请求的合法性。5.根据权利要求4所述的调用可信应用的方法,其特征在于,所述鉴权信息包括访问优先级标识,所述可信应用二的访问控制列表包括访问优先级标识顺序列表,判断对所述可信应用二访问请求合法后还...
【专利技术属性】
技术研发人员:张志华,陆道如,
申请(专利权)人:恒宝股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。