本公开涉及一种访问控制方法、系统、SE访问插件装置和终端,涉及移动通信技术领域。该方法包括:终端的SE访问插件接收SP发来的访问智能卡中小应用程序的请求信息;SE访问插件通过终端的机卡接口,向小应用程序发送请求信息,以便小应用程序根据第一访问控制策略确定是否允许SP访问,第一访问控制策略存储于小应用程序中;在小应用程序允许SP访问的情况下,SE访问插件允许SP通过SE访问插件访问小应用程序。本公开的技术方案能够提高访问控制的安全性。
【技术实现步骤摘要】
访问控制方法、系统、安全单元SE访问插件装置和终端
本公开涉及移动通信
,特别涉及一种访问控制方法、访问控制系统、SE(SecureElement,安全单元)访问插件装置、终端和计算机可读存储介质。
技术介绍
SIM(SubscriberIdentificationModule,用户身份识别模块)卡和eSIM(Embedded-SIM,嵌入式SIM)卡运营商的SE能够提供硬件级金融级安全存储和运算服务能力。SE支持手机APP(Application,应用程序)访问智能卡上的APPLET(小应用程序),从而增强APP访问的安全性。在相关技术中,为确保访问APPLET的APP合法,采用GPAC(GlobalPlatformAccessControl,全球平台国际标准组织访问控制)进行访问控制。
技术实现思路
本公开的专利技术人发现上述相关技术中存在如下问题:采用智能卡专用文件存储的访问控制策略数量有限,采用云端存储访问控制策略容易受到攻击,导致访问控制的安全性低。鉴于此,本公开提出了一种访问控制技术方案,能够提高安全性。根据本公开的一些实施例,提供了一种访问控制方法,包括:终端的SE访问插件接收SP(ServiceProvider,服务提供方)发来的访问智能卡中小应用程序的请求信息;所述SE访问插件通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述SP访问,所述第一访问控制策略存储于所述小应用程序中;在所述小应用程序允许所述SP访问的情况下,所述SE访问插件允许所述SP通过所述SE访问插件访问所述小应用程序。在一些实施例中,所述SE访问插件向所述机卡接口发送认证请求,以便所述机卡接口根据第二访问控制策略确定是否通过所述SE访问插件的认证,所述第二访问控制策略存储于所述智能卡的专用文件中;在所述机卡接口通过所述SE访问插件认证的情况下,所述SE访问插件通过所述机卡接口向所述小应用程序发送所述请求信息。在一些实施例中,所述第二访问控制策略由运营商写入所述专用文件。在一些实施例中,所述SE访问插件接收所述SP首次接入所述终端时发来的所述第一访问控制策略;所述SE访问插件通过所述机卡接口,将所述第一访问控制策略写入所述小应用程序中。在一些实施例中,所述请求信息包括所述SP的应用程序的数字签名摘要和所述SP想要访问的小应用程序的ID;所述第一访问控制策略包括各SP的应用程序的数字签名摘要和分配给各SP的小应用程序的ID。根据本公开的另一些实施例,提供一种SE访问插件装置,所述SE访问插件装置设置于终端内,包括:接收单元,用于接收SP发来的访问智能卡中小应用程序的请求信息;发送单元,用于通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述SP访问,所述第一访问控制策略存储于所述小应用程序中;访问单元,用于在所述小应用程序允许所述SP访问的情况下,允许所述SP通过所述SE访问插件装置访问所述小应用程序。在一些实施例中,所述发送单元向所述机卡接口发送认证请求,以便所述机卡接口根据第二访问控制策略确定是否通过所述SE访问插件装置的认证,所述第二访问控制策略存储于所述智能卡的专用文件中,在所述机卡接口通过所述SE访问插件认证的情况下,所述发送单元通过所述机卡接口向所述小应用程序发送所述请求信息。在一些实施例中,所述第二访问控制策略由运营商写入所述专用文件。在一些实施例中,所述接收单元接收所述SP首次接入所述终端时发来的所述第一访问控制策略。在一些实施例中,所述SE访问插件装置还包括:写入单元,用于通过所述机卡接口,将所述第一访问控制策略写入所述小应用程序中。在一些实施例中,所述请求信息包括所述SP的应用程序的数字签名摘要和所述SP想要访问的小应用程序的ID;所述第一访问控制策略包括各SP的应用程序的数字签名摘要和分配给各SP的小应用程序的ID。根据本公开的又一些实施例,提供一种终端,包括:SE访问插件装置,用于执行上述任一个实施例中的访问控制方法;机卡接口,用于实现所述SE访问插件装置与智能卡中小应用程序的信息交互。根据本公开的再一些实施例,提供一种访问控制系统,包括:上述任一个实施例中的终端和智能卡。根据本公开的又一些实施例,提供一种SE访问插件装置,包括:存储器;和耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器装置中的指令,执行上述任一个实施例中的访问控制方法。根据本公开的再一些实施例,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一个实施例中的访问控制方法。在上述实施例中,将用于判断SP的APP是否有权限访问APPLET的访问控制策略存储在APPLET中,而且SP的APP通过SE访问插件间接访问APPLET。这样,无需借助云端即可可以支持大容量的访问控制策略存储,从而提高了访问控制的安全性。附图说明构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:图1示出本公开的访问控制方法的一些实施例的流程图;图2示出图1中步骤120的一些实施例的流程图;图3示出本公开的访问控制方法的一些实施例的信令图;图4示出本公开的访问控制方法的另一些实施例的流程图;图5示出本公开的SE访问插件装置的一些实施例的框图;图6示出本公开的终端的一些实施例的框图;图7示出本公开的访问控制系统的一些实施例的框图;图8示出本公开的SE访问插件装置的另一些实施例的框图;图9示出本公开的SE访问插件装置的又一些实施例的框图。具体实施方式现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。图1示出本公开的访问控制方法的一些实施例的流程图。如图1所示,该方法包括:步骤110,接收请求信息;步骤120,发送请求信息;和步骤130,允本文档来自技高网...
【技术保护点】
1.一种访问控制方法,包括:/n终端的安全单元SE访问插件接收服务提供方SP发来的访问智能卡中小应用程序的请求信息;/n所述SE访问插件通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述SP访问,所述第一访问控制策略存储于所述小应用程序中;/n在所述小应用程序允许所述SP访问的情况下,所述SE访问插件允许所述SP通过所述SE访问插件访问所述小应用程序。/n
【技术特征摘要】
1.一种访问控制方法,包括:
终端的安全单元SE访问插件接收服务提供方SP发来的访问智能卡中小应用程序的请求信息;
所述SE访问插件通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述SP访问,所述第一访问控制策略存储于所述小应用程序中;
在所述小应用程序允许所述SP访问的情况下,所述SE访问插件允许所述SP通过所述SE访问插件访问所述小应用程序。
2.根据权利要求1所述的访问控制方法,其中,所述SE访问插件通过所述终端的机卡接口,向所述小应用程序发送所述请求信息包括:
所述SE访问插件向所述机卡接口发送认证请求,以便所述机卡接口根据第二访问控制策略确定是否通过所述SE访问插件的认证,所述第二访问控制策略存储于所述智能卡的专用文件中;
在所述机卡接口通过所述SE访问插件认证的情况下,所述SE访问插件通过所述机卡接口向所述小应用程序发送所述请求信息。
3.根据权利要求2所述的访问控制方法,其中,
所述第二访问控制策略由运营商写入所述专用文件。
4.根据权利要求1所述的访问控制方法,还包括:
所述SE访问插件接收所述SP首次接入所述终端时发来的所述第一访问控制策略;
所述SE访问插件通过所述机卡接口,将所述第一访问控制策略写入所述小应用程序中。
5.根据权利要求1-4任一项所述的访问控制方法,其中
所述请求信息包括所述SP的应用程序的数字签名摘要和所述SP想要访问的小应用程序的ID;
所述第一访问控制策略包括各SP的应用程序的数字签名摘要和分配给所述各SP的小应用程序的ID。
6.一种安全单元SE访问插件装置,所述SE访问插件装置设置于终端内,包括:
接收单元,用于接收服务提供方SP发来的访问智能卡中小应用程序的请求信息;
发送单元,用于通过所述终端的机卡接口,向所述小应用程序发送所述请求信息,以便所述小应用程序根据第一访问控制策略确定是否允许所述SP访问,所述第一...
【专利技术属性】
技术研发人员:郭建昌,卢燕青,崔沛东,李宝荣,杨光,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。